【資安快訊】QNAP 修補 Pwn2Own 2025 七項零日漏洞 全台 NAS 請立即更新!
2025 年 11 月 10 日,QNAP 發布重要安全更新,修補於 Pwn2Own Ireland 2025 國際資安競賽遭實際利用的 七項零日漏洞,涵蓋 QTS/QuTS hero 作業系統及多項關鍵套件(備份、惡意程式掃描、相簿等)。建議全國 NAS 使用者與中小企業主務必立即升級,防堵外部入侵及勒索軟體攻擊。
一、事件摘要
- 漏洞類型:遠端程式碼執行(RCE)、特權提升、命令注入等
- 影響範圍:QTS/QuTS hero 作業系統、Hyper Data Protector、Malware Remover、HBS 3 Hybrid Backup Sync
- 公開時間:2025 年 10 月(Pwn2Own Ireland 競賽期間)
- 修補發布:2025 年 11 月 10 日
- 攻擊展示:由多組白帽駭客團隊(Summoning Team、DEVCORE、Team DDOS、CyCraft)現場鏈結攻擊成功
- 台灣用戶特別提醒:
- QNAP 在台灣市場佔有率高,家用、SOHO、學校與中小企業皆需特別留意!
- 未修補恐遭惡意攻擊、暴力破解、勒索加密與資料外洩
二、受影響產品及修補版本
請立即升級至下列最新版本或更新版本:
| 產品(套件) | 修補版本(含本版以後) | 主要修補 CVE |
|---|---|---|
| QTS 5 | 5.2.7.3297 build 20251024 | CVE-2025-62847, 62848, 62849 |
| QuTS hero h5.2 | h5.2.7.3297 build 20251024 | CVE-2025-62847, 62848, 62849 |
| QuTS hero h5.3 | h5.3.1.3292 build 20251024 | CVE-2025-62847, 62848, 62849 |
| Hyper Data Protector | 2.2.4.1 及以後版本 | CVE-2025-59389 |
| Malware Remover | 6.6.8.20251023 及以後版本 | CVE-2025-11837 |
| HBS 3 Hybrid Backup | 26.2.0.938 及以後版本 | CVE-2025-62840, 62842 |
額外修補:QuMagie 相簿套件
QNAP 同時發布 QuMagie 2.7.0,修補一個嚴重的 SQL 注入漏洞(CVE-2025-52425)。此漏洞雖非 Pwn2Own 展示項目,但同樣具有高風險,建議一併更新。
三、技術說明與攻防簡析
攻擊鏈分析
在 Pwn2Own Ireland 2025 競賽中,資安研究員成功將多種套件漏洞鏈結,從備份、掃描、檔案管理進入系統核心,證實過往未受重視的「套件漏洞」一旦未修補,單一環節失守即可導致 NAS 全面失控。
實戰風險
被入侵後,攻擊者可取得系統管理權限,甚至:
- 關閉防護機制
- 竊取備份資料
- 發動勒索軟體攻擊
- 建立持久性後門
QuMagie 額外說明
照片管理套件 QuMagie 由於 SQL 注入漏洞(CVE-2025-52425),可被未授權遠端植入指令,務必一併更新!
四、用戶問答與備援建議
Q1:我的 QNAP 沒有對外開放,也需要更新嗎?
A:要! 部分攻擊能由區域網路或受感染電腦橫向移動入侵,全面更新才安全。
Q2:只有系統要升級嗎?備份、掃毒軟體要不要升級?
A:都要! 本次攻擊鏈涉及多種套件與核心,單一漏更新風險仍在。
Q3:更新後還需要做什麼?
A:建議採取以下措施
- 所有系統及套件帳密更換,提升防竊補丁效益
- 優先開啟雙重驗證(2FA)
- 檢查有無異常登入紀錄、文件存取紀錄
- 檢查 App Center 是否已顯示與官網公告一致之最新版本
Q4:沒有及時更新會怎樣?
A:風險包括
- 被植入後門,終身受控
- 數據隨時被刪除、竊取
- NAS 被用來跳板攻擊公司、客戶網路
- 勒索軟體加密所有資料
五、管理員立即行動清單
- 進入 NAS 控制台 → 系統更新/App Center 應用程式中心
- 逐一檢查並升級所有作業系統與關鍵套件
- 升級後建議重新啟動 NAS
- 更改所有管理者/用戶密碼,啟用雙重驗證
- 檢查 App Center 是否已顯示與官網公告一致之最新版本
- 將您的 NAS 曝露面(外網 Port、UPnP、DDNS)縮至最小,必要時完全封閉外部存取
- 檢查備份/同步帳密與任務權限,並回顧日誌
- 確認 QuMagie 相簿套件已更新至 2.7.0 版本
六、延伸閱讀
- BleepingComputer: QNAP fixes seven NAS zero-day flaws exploited at Pwn2Own
- Security Affairs: QNAP fixed multiple zero-days in its software demonstrated at Pwn2Own 2025
- QNAP 官方安全公告(請依官網公告為準)
七、資料救援團隊提醒
此事件反映定期更新與多層備份的重要性。如果您的 NAS 不幸遭受攻擊或資料損毀:
- 請勿輕易付費給勒索軟體攻擊者
- 立即停止使用受影響的 NAS,避免資料被進一步破壞
- 即時諮詢專業救援管道,我們提供:
- 專業資料救援服務
- NAS / RAID 陣列救援
- 勒索軟體攻擊後的資料恢復評估
- 安全檢測與備份架構設計
預防永遠勝過事後補救,但如果真的發生資料遺失,請第一時間尋求專業協助,切勿自行操作造成二次傷害。
鴻華資料救援提醒:定期更新、多層備份、異地備援是保護資料的三大關鍵。如遇緊急狀況,請立即聯繫我們。