QNAP 已迅速采取行动，解决其 QuRouter 网络安全设备中的一个关键零日漏洞，该漏洞在最近于爱尔兰举行的 Pwn2Own 黑客大赛中被安全研究人员利用。

该漏洞被追踪为 CVE-2024-50389，Viettel 网络安全团队利用该漏洞入侵了一台 QuRouter 设备，并赢得了比赛期间颁发的 100 多万美元奖金中的一部分。

QNAP 立即为受影响的 QuRouter 2.4.x 版本发布了补丁，敦促用户立即升级到 2.4.5.032 或更高版本。该公司感谢 Viettel Cyber Security 负责任地披露了该漏洞。

继上周 QNAP 修补了另外两个零日漏洞之后，Viettel Cyber Security 在 Pwn2Own 期间也发现了这一漏洞：

CVE-2024-50388： HBS 3 混合备份同步解决方案中的漏洞，允许攻击者在 TS-464 NAS 设备上执行任意命令。

CVE-2024-50387： QNAP 的 SMB 服务中存在严重的 SQL 注入漏洞。

QNAP 对这些漏洞的快速反应值得称赞，特别是与供应商在公开发布 Pwn2Own 漏洞细节之前通常需要 90 天的时间形成鲜明对比。

更新您的 QuRouter 对于降低 CVE-2024-50389 带来的风险至关重要。QNAP 已提供更新至最新固件版本的明确说明：

登录您的 QuRouter。
转到固件。
选择立即更新。
选择最新版本。
单击 “应用 ”并确认。

然后，QuRouter 将下载并安装必要的更新。或者，用户也可以从 QNAP 下载中心手动下载最新固件，然后通过 QuRouter 界面进行应用。

文章原文链接:https://www.anquanke.com/post/id/301559