威联通NAS数据安全指南：从漏洞防范到最佳实践

威联通NAS数据安全指南：从漏洞防范到最佳实践

引用

少数派

等

9

来源

1.

https://sspai.com/post/88680

2.

https://post.smzdm.com/p/akllom64/

3.

https://new.qq.com/rain/a/20241113A049MG00

4.

https://post.smzdm.com/p/ag54zqk7/

5.

https://new.qq.com/rain/a/20240708A04LBN00?media_id=&openApp=false&suid=&web_channel=wap

6.

https://m.sohu.com/a/824096865_121798711/?pvid=000115_3w_a

7.

https://www.landiannews.com/archives/102779.html

8.

https://www.chiphell.com/forum.php?mod=viewthread&tid=2515492&extra=page%3D1&mobile=2

9.

https://www.qnap.com.cn/zh-cn/solution/secure-storage

近日，某知名B站UP主自建NAS被黑客入侵的消息引发广泛关注。这一事件不仅暴露了NAS设备在安全性方面的隐患，更提醒我们：在享受NAS带来的便利的同时，数据安全问题不容忽视。本文将结合威联通NAS TS-462C，分享一些实用的数据安全保障建议。

威联通作为NAS领域的知名品牌，其产品安全性一直备受关注。然而，近期威联通发布安全公告，披露了其设备固件中存在的三个高危漏洞：

1. CVE-2024-21899：不正确的身份验证漏洞，允许未经授权的访问者通过网络危害系统安全，CVSS评分为9.8/10，是威胁等级最高的漏洞。

2. CVE-2024-21900：注入漏洞，允许经过身份验证的访问者通过网络执行命令，可能导致未经授权的系统访问或控制。

3. CVE-2024-21901：SQL注入漏洞，允许经过身份验证的管理员通过网络注入恶意代码，可能损害数据库完整性并操纵其内容。

其中，第一个漏洞最为严重，因为它允许攻击者无需账号密码即可登录并获取数据。而且该漏洞的利用难度较低，只需经过简单步骤即可完成攻击。根据威胁情报显示，过去一年暴露在公网上的威联通NAS设备约有300万台，其中相当一部分未开启固件更新，这些设备都可能成为黑客攻击的目标。

面对这些安全威胁，用户应该如何保护自己的数据安全呢？以下是一些实用的安全配置建议：

1. 及时更新固件

威联通已经发布了针对上述漏洞的固件更新，用户应立即检查并安装最新版本。更新方法如下：

• 对于QTS、QuTS Hero、QuTScloud系统，使用管理员账户登录后，转到控制面板 > 系统 > 固件更新，点击检查更新。

• 对于myQNAPcloud，请通过管理员账户登录后打开应用中心，搜索myQNAPcloud然后更新。

2. 停用admin账户

默认的admin账户是黑客攻击的首要目标。建议创建一个新的管理员账户，并停用默认的admin账户。步骤如下：

1. 登录NAS管理界面
2. 转到用户管理
3. 创建一个新用户，并分配管理员权限
4. 确保新账户使用强密码
5. 找到默认的admin账户，将其停用

3. 启用SSL加密连接

启用SSL加密可以保护数据传输过程中的安全性，防止中间人攻击。操作步骤如下：

1. 登录NAS管理界面
2. 转到控制面板 > 系统 > 网络 > 服务
3. 找到Web管理服务
4. 勾选"启用SSL加密连接"
5. 保存设置

4. 限制外部访问

如果不需要从外部网络访问NAS，建议关闭外部访问功能。如果确实需要远程访问，可以考虑以下措施：

• 使用VPN连接
• 设置访问白名单，只允许特定IP地址访问
• 启用端口转发时使用非标准端口

5. 使用强密码和多因素认证

弱密码是安全防护中最容易被攻破的一环。建议使用包含大小写字母、数字和特殊字符的强密码，并定期更换。此外，开启多因素认证（MFA）可以进一步提升安全性。

6. 定期备份数据

即使采取了所有预防措施，也不能完全排除安全风险。因此，定期备份数据是非常重要的。可以使用威联通的HBS3备份工具，将数据备份到其他存储设备或云存储中。

随着个人和企业对数据依赖程度的加深，数据安全已经成为不可忽视的重要课题。通过合理的安全配置和管理，我们可以大大降低数据泄露的风险。希望本文提供的建议能帮助大家更好地保护自己的数据安全。