NAS设备制造商群晖和QNAP近日分别修复了多个关键安全漏洞。群晖修复了一个名为RISK:STATION的零日漏洞（CVE-2024-10443），该漏洞可能导致远程代码执行，影响DiskStation和BeePhotos等设备，可能导致敏感数据泄露和恶意软件植入。QNAP则修复了影响QuRouter、SMB服务和HBS 3的三个关键漏洞，虽然目前没有证据表明这些漏洞被利用，但考虑到NAS设备是勒索软件攻击的目标，建议用户尽快更新系统以确保安全。

🤔群晖修复了名为RISK:STATION的零日漏洞（CVE-2024-10443），该漏洞可能导致远程代码执行，影响DiskStation和BeePhotos等设备，且无需用户交互即可触发。

⚠️该漏洞可能导致攻击者访问设备，窃取敏感数据并植入恶意软件，据估计有100万到200万台Synology设备暴露在互联网上。

💻受影响的BeePhotos和Synology Photos版本需升级到最新版本以修复漏洞。

🛡️QNAP修复了影响QuRouter、SMB服务和HBS 3的三个关键漏洞（CVE-2024-50389、CVE-2024-50387、CVE-2024-50388），建议用户尽快更新系统。

💡虽然目前没有证据表明QNAP的漏洞被利用，但鉴于NAS设备是勒索软件攻击的目标，建议用户及时更新系统。

NAS设备制造商群晖（Synology）已经解决了影响DiskStation和BeePhotos的一个可能导致远程代码执行的关键安全漏洞。这个零日漏洞被追踪为CVE-2024-10443，并被Midnight Blue称为RISK:STATION，由安全研究员Rick de Jager在Pwn2Own Ireland 2024黑客大赛上展示。RISK:STATION是一个 “未经验证的零点击漏洞，允许攻击者在流行的群晖DiskStation和BeeStation NAS设备上执行root级代码，影响数百万台设备。该漏洞的零点击性质意味着它不需要任何用户交互来触发利用，从而允许攻击者访问设备以窃取敏感数据并植入额外的恶意软件。该漏洞影响以下版本BeePhotos for BeeStation OS 1.0（升级至 1.0.2-10026 或更高版本）適用於 BeeStation OS 1.1 的 BeePhotos (升級至 1.1.0-10053 或以上版本)Synology Photos 1.6 for DSM 7.2 (升級至 1.6.2-0720 或以上)Synology Photos 1.7 for DSM 7.2 (升級至 1.7.0-0795 或以上版本)为了让用户有足够的时间应用补丁，有关该漏洞的其他技术细节目前暂未公布。Midnight Blue表示，目前有100万到200万台Synology设备同时受到影响并暴露在互联网上。QNAP 修补了 3 个关键漏洞QNAP解决了影响QuRouter、SMB服务和HBS 3混合备份同步的三个关键漏洞，所有这些漏洞都在Pwn2Own中被利用。CVE-2024-50389 – 已在 QuRouter 2.4.5.032 及更新版本中修复CVE-2024-50387 – 已於 SMB Service 4.15.002 及 SMB Service h4.15.002 及更新版本中修復CVE-2024-50388 – 已在 HBS 3 Hybrid Backup Sync 25.1.1.673 及更新版本中修復虽然没有证据表明上述任何漏洞已在野外被利用，但鉴于 NAS 设备过去一直是勒索软件攻击的高价值目标，建议用户尽快应用这些补丁。