【ANA】【漏洞預警】教育部所屬機關所使用之資訊設備疑似存在漏洞,允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼

發佈編號

TACERT-ANA-2021050309053838

發佈時間

2021-05-03 09:41:42

事故類型

ANA-漏洞預警

發現時間

2021-04-28 09:58:40

影響等級

   

[主旨說明:]【漏洞預警】教育部所屬機關所使用之資訊設備疑似存在漏洞,允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼

[內容說明:]

轉發 國家資安資訊分享與分析中心 NISAC-ANA-202104-1319

 

本中心接獲外部情資,發現教育部所屬機關所使用之資訊設備疑似存在漏洞,可能導致遠端攻擊者可利用漏洞對目標設備建立任意檔案至特定路徑下,進而執行任意程式碼。

 

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

CVE-2020-2509

所有QNAP設備

 

CVE-2020-36195

啟用Multimedia ConsoleMedia Streaming Add-on應用程式之QNAP設備

 

CVE-2021-28798

TS-112PTAS-168TAS-268QTS 4.3.3.1624 build 20210416以前版本

 

CVE-2021-28799

啟用HBS 3 Hybrid Backup Sync應用程式之QNAP設備

[建議措施:]

目前QNAP官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認並將設備更新至以下版本:

 

QTS

QTS 4.5.2.1566 Build 20210202()以後版本

QTS 4.5.1.1495 Build 20201123()以後版本

QTS 4.3.6.1620 Build 20210322()以後版本

QTS 4.3.4.1632 Build 20210324()以後版本

QTS 4.3.3.1624 Build 20210416()以後版本

QTS 4.2.6 Build 20210327()以後版本

 

QuTS hero

QuTS hero h4.5.1.1491 build 20201119()以後版本

 

Media Streaming Add-on

QTS 4.3.6: Media Streaming add-on 430.1.8.8()以後版本

QTS 4.3.3: Media Streaming add-on 430.1.8.10()以後版本

 

Multimedia Console

QTS 4.4.x and later: Multimedia Console 1.3.4()以後版本

 

HBS 3 Hybrid Backup Sync

QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415()以後版本

QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412()以後版本

QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419()以後版本

QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419()以後版本