【資安警示】QNAP NAS 被爆多項高風險漏洞：恐導致遠端執行與資料洩漏

發布時間：2025 年 9 月

近期由 HKCERT 公布，QNAP 的 NAS 系統中發現 多個安全漏洞，可被遠端攻擊者利用來發起遠端程式執行 (RCE)、拒絕服務 (DoS)、敏感資訊洩漏以及資料操作等攻擊。 oai_citation:1‡hkcert.org

背景與漏洞概況

這次發現的漏洞主要影響 QTS 5.2.x 以及 QuTS Hero h5.2.x 系列系統。根據 HKCERT 的公告，這些漏洞包含了遠端程式執行（RCE）、拒絕服務攻擊、資料洩漏，以及敏感資料操作等多種風險類型。

最令人擔憂的是，攻擊者可以在未經授權的情況下，透過網路方式觸發這些漏洞，進而對系統造成入侵或資料竄改。QNAP 官方已經針對這些問題發布了安全公告 QSA-25-21 和 QSA-25-23，強烈建議所有用戶盡快套用相關的安全更新。

影響與風險

這些漏洞帶來的風險相當廣泛。首先是資料完整性的威脅，攻擊者可能會替換、刪除檔案，甚至植入惡意程式或修改重要資料。同時，機密性也面臨嚴重挑戰，未經授權的存取可能導致敏感檔案被讀取或竊取。

更嚴重的是，DoS 漏洞可能讓整個 NAS 系統無法正常運作，造成服務中斷或系統當機。一旦攻擊者成功入侵，他們往往不會止步於此，而是會進行橫向移動、安裝勒索軟體，或是建立後門以便日後再次入侵。

對企業用戶來說，資料外洩或系統被破壞不僅會造成直接損失，更可能影響品牌信譽和客戶信心，這種無形的損失往往更加嚴重。

使用者如何預防（篇幅重點）

下面這一半篇幅，是給 NAS 用戶、公司 IT 或中小企業用戶的防範建議：

1. 立即檢查並更新系統／韌體

登入 NAS 管理界面 → 檢查 QTS / QuTS Hero 版本是否屬於受影響版本（5.2.x / h5.2.x）
前往 QNAP 官方支援或安全公告頁面，下載對應的安全補丁（QSA-25-21、QSA-25-23）。 oai_citation:5‡hkcert.org

2. 關閉不必要或高風險的服務

如果您未使用某些網路服務（FTP、Telnet、SSH、Web 管理埠等），建議暫時停用
限制外網直接存取 NAS 管理介面，盡可能讓管理介面僅在內部網路可連

3. 加強網路邊界防護

• 使用防火牆、入侵偵測 (IDS) 或入侵防禦 (IPS) 系統來監控與阻擋可疑流量
• 若需要遠端存取，盡量使用 VPN 或跳板機（中轉伺服器）方式，而非直接開放 NAS 管理埠
• 限制能存取 NAS 的來源 IP（白名單控制）

4. 採用最小權限原則與強化授權機制

• 非管理帳號不使用高權限操作
• 強制啟用兩階段驗證 (2FA) / 多重驗證機制
• 定期檢查帳號權限與登入記錄

5. 定期備份 + 快照機制

• 設置多層備份：本地備份 + 異地備份 + 雲端備份
• 啟用快照機制，讓被破壞或篡改的資料能快速回復
• 備份盡量與 NAS 系統分開，避免同一台裝置被一併破壞

6. 持續監控與資安意識教育

• 定期查看安全公告、廠商漏洞通報
• 設立監控機制（例如 log 監控、異常進出流量警報）
• 教育使用者 / 員工：不要隨意開放連線、不安裝不明應用、不在公共網路操作 NAS

我們能提供的協助

• 專業資料救援：即使資料受損、被刪除或被惡意篡改，我們能協助最大可能地恢復資料
• 漏洞檢測與弱點評估：協助檢查 NAS 的配置、安全性、權限控制是否有潛在弱點
• 備份與防護架構設計：根據您的業務模式設計合理的備援架構與策略
• 在地化案例支援：我們在新竹／台灣區域已處理多起 NAS / RAID 救援案，可提供實務經驗

小結與提醒

這次 QNAP 漏洞公告是近期真實發現、具有即時風險的案例，對於 NAS 用戶來說是值得高度重視的安全事件。
建議所有使用 QNAP 陣列的單位或個人 立即檢查版本、套用補丁，並落實以上預防措施。
如遇資料異常、無法開啟或資料遺失等情況，請盡早聯繫專業資料救援團隊處理，以免自行操作造成不可逆的損害。