QNAP发布安全补丁以修复Rsync软件漏洞

关键点摘要

• QNAP在1月23日发布了针对开源Rsync软件的六个漏洞的补丁，该软件用于管理其流行的网络附加存储（NAS）设备，主要用于备份和灾难恢复。
• 漏洞影响HBS 3 Hybrid Backup Sync 25.1.x NAS设备，QNAP建议客户及时更新到最新版本。
• Rsync是开源的文件同步工具，被许多流行的NAS系统所使用。
• 鉴于QNAP在NAS市场的占有率接近25%，此次补丁的重要性不言而喻。
• 专家指出，如果利用这些漏洞，攻击者可以实施远程命令执行或读写任意文件。

QNAP在其中表示，补丁将保护那些采用HBS 3 Hybrid Backup Sync25.1.x版本的NAS设备。由于QNAP在NAS市场中的占比接近四分之一，及时发布补丁对于用户安全至关重要。

Rsync是远程同步（remotesynchronization）的简称，使用户能够远程将文件从一个系统复制到另一个系统，并在本地文件发生更改时保持文件同步。专业人士指出，这些漏洞如果被联用，可能导致远程命令执行和任意文件的读写权限。

“由于Rsync是开源软件且已有近30年的历史，它是许多消费者和企业备份或存储系统的核心，”Ionix的现场CTO比利·霍夫曼（BillyHoffman）表示。“尽管这些漏洞的影响严重，但更大的问题是修复所有使用Rsync的产品的延迟。您真的认为一个小办公室使用的由Rsync驱动的NAS或备份设备会定期检查那些放在电话机机柜里的塑料盒子里的更新吗？需要更新的产品来自于众多的供应商，并且数量庞大。”

Bugcrowd的首席信息安全官特雷·福特（TreyFord）提到，此次QNAP的漏洞对小企业和家庭用户影响尤为明显，他们正在体会管理开源软件所需的细致工作。“显然，保持所有系统的最新状态非常重要——这不仅关系到我们每天使用的个人设备，还包括那些我们设置后常常忘记的系统，如路由器、智能设备，以及此次提到的存储设备，”福特说道。“确保这些设备不与公共互联网交互至关重要，因为备份服务可能会与主要云服务提供商的异地备份位置进行连接。”

Viakoo Labs的副总裁约翰·加拉赫（John Gallagher）指出，一项发现，当前只有2%的QNAP NAS设备已更新到最新版本。

加拉赫表示：“远程代码执行和系统远程入侵是极为严峻的问题。由于其固有的连接性，云端同步和内部同步都可能被利用。”

他还建议使用NAS驱动器的组织需要部署物联网/运营技术资产发现解决方案，以便能准确清点资产，并有自动化的方法在大规模上为设备打补丁