QNAP ... 今次真心PK...

Rank: 4 Rank: 4 Rank: 4 Rank: 4

31^# 跳轉到 »

發表於 2021-5-6 09:56 | 只看該作者

本帖最後由 jackwong717 於 2021-5-6 10:09 編輯

簡單D問, 係唔係當初冇比佢自動UPNP在Router做左個port 8080 & 8200的fordwarding就唔會中哩個漏洞 ? ...
wunit 發表於 2021-5-6 09:49

係.....就咁睇即係用UPNP去SET的話...即係用左預設PORT8080同8200了
所以我成日都想講唔好用MYQNAPCLOUD去SET port forward
要係ROUTER去SET port forward(改第個PORT)

1. Web 伺服器的 RCE 漏洞

該漏洞容許黑客透過 NAS Web 伺服器服務上 (默認TCP Port 8080) 透過 CGI 執行任何 shell 命令，完全無需身份驗證即可觸發遠程代碼執行，影響暴露於 Internet 的所有 QNAP NAS 設備

2. DLNA 伺服器的任意文件寫入漏洞

該漏洞容許黑客透過 DLNA 伺服器服務上 (默認 Port 8200)，在任何的位置創建任意文件數據訪問，並處理 Port 8200 上的 UPNP 請求，最終可以將該漏洞可以讓黑客觸發遠程代碼執行。

TOP

tomcools

中級會員

Rank: 2 Rank: 2

32^#

發表於 2021-5-6 11:13 | 只看該作者

對於呢到好多師兄0黎講, 呢D SETTING係基本知識, 但對於一般家用及小公司根本冇呢方面既知識, 佢地都係信廣告亦係各NAS公司主要既賣點簡單,方便,安全. 如果單計HW點會值咁多錢~
所以個D怪USER有問題唔識呢樣個樣個D人, 有冇想過就係NAS公司一直係推呢D賣點去吸引呢群人買?

TOP

tek2

中級會員

Rank: 2 Rank: 2

33^#

發表於 2021-5-6 13:04 | 只看該作者

回復 30 #wunit

現時應係HBS3有後門出事, 入面有q記放入hard coded candidate 可以bypass用家的戶口同密碼去執行指令, 有指開咗HBS3就有機會中.

另外2 apps 都有hard coded. Q記啲cloud同apps都係信唔過因太多漏洞, 唔用啲apps要disable或uninstall先.

via HKEPC Reader for Android

TOP

tek2

中級會員

Rank: 2 Rank: 2

34^#

發表於 2021-5-6 13:29 | 只看該作者

回復 32 #tomcools

同意, qnap就係咁推呢啲賣點. 而qnap之前處理漏洞太鬆懈現時先追修.

Walter呢位真奇才, 用自己名同gmail去hard coded啲apps. 不過好似離開qnap了, 總之qnap內部安全意識不足, 一係轉會一係斬腳趾避沙蟲當部機係usb硬碟用.

via HKEPC Reader for Android

TOP

it_jobs

中級會員

Rank: 2 Rank: 2

35^#

發表於 2021-5-6 13:33 | 只看該作者

精彩精彩, 令我想起一段住事.

某大戶人家想請護衛員, 高薪糧準, 應徴人龍水蛇春咁長嘅
問到護衛有咩專長, 個個都答自己百般武藝, 一腳開山, 一掌劈石.
耐何在都市, 無山要開, 無石可劈, 又怕傷到人.
護衛只好自備徒弟當對手, 睇下護衛有咩本領.
一時5連鞭, 一時隔山打牛, 一時護身氣勁, 徒弟自然被打到如同落花流水.
千選萬選, 選左一個高大威猛.

有日護衛同個小姐出外, 護衛眼見土匪流氓在前, 佢就龜縮在後.
小姐比人調戲,  護衛唔敢出聲.
小姐比人強暴, 護衛返左屋企.

事後, 東主問護衛當年為何不出手.
護衛但說:
小姐出街就預左比人強暴, 佢又唔搵石屎封住自己, 衣服又只包全身, 露出手眼.
小姐唔想比人強暴, 應該學會百般武藝, 只學會柔道柔術, 又唔學空手台拳, 刀槍劍擊,

根本係係小姐攞黎比人強暴!

自些傳出, 各家小姐爭相學會柔道柔術, 空手台拳, 洪拳詠東, 刀槍劍擊, 東洋西洋古今中外各式流派.  洋服旗袍都改成盔甲動力服, 外甲銅鐵鋼鈦乜都有, 係無石屎!

無人再請護衛.  天下從此太平

TOP

it_jobs