QNAP已发布紧急安全通告,针对在知名Pwn2Own Ireland 2025赛事中成功攻陷QNAP网络附加存储(NAS)设备的七个0Day漏洞推出补丁。这套全面更新涵盖了核心操作系统和主要应用程序中的关键缺陷,包括重要的备份工具和恶意软件清除工具。
在Pwn2Own赛事现场,Summoning Team、DEVCORE、Team DDOS以及CyCraft技术实习生团队等多个顶级安全研究团队成功演示了漏洞利用过程。
漏洞影响范围与修复方案
1. 核心操作系统:QTS与QuTS hero
QNAP主要操作系统中发现多个漏洞(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)。虽然公告未明确提供CVSS评分,但0Day特性结合Pwn2Own成功攻陷的事实表明,这些漏洞可能导致高风险远程代码执行和数据泄露。
| 受影响产品 | 修复版本 |
|---|---|
| QTS 5.2.x | QTS 5.2.7.3297 build 20251024及后续版本 |
| QuTS hero h5.2.x | QuTS hero h5.2.7.3297 build 20251024及后续版本 |
| QuTS hero h5.3.x | QuTS hero h5.3.1.3292 build 20251024及后续版本 |
2. 备份与数据保护应用
两款核心数据保护工具存在漏洞:
- HBS 3混合备份同步工具(CVE-2025-62840、CVE-2025-62842):该关键备份应用修复了多个漏洞。由于此工具处理所有备份任务,漏洞可能使攻击者获取历史数据和远程备份目标。26.1.x及更早版本用户必须升级至HBS 3 Hybrid Backup Sync 26.2.0.938或更高版本。
- Hyper Data Protector(CVE-2025-59389) :该专用数据保护工具的漏洞已在2.2.4.1及后续版本中修复。
3. 恶意软件清除工具(CVE-2025-11837)
QNAP安全工具Malware Remover中发现0Day漏洞。6.6.x版本用户需升级至Malware Remover 6.6.8.20251023或更高版本。
这些漏洞已在受控环境中证实可被利用,意味着现实攻击者能快速将这些技术整合进攻击活动。鉴于NAS设备存储数据的高价值性,QNAP用户应立即安装固件和应用更新。