传送门
http://bit.ly/3ULUzGm
资安机构 watchTowr 17 日发表声明，批评 QNAP 至今仍未修复 1 月向其报告的安全漏洞
，修补速度极其缓慢，为了让 QNAP 正视问题，watchTowr 决定公开漏洞迫其尽快解决问题
。
据了解，watchTowr 研究 QNAP NAS 的作业系统，包括 QTS、QuTSCloud 和 QTS hero 等共
发现了 15 个严重漏洞，其中一个是 2023 年 12 月向 QNAP 公报告，其余漏洞则是 1 月
初报告，但直至 2024 年 5 月 17 日，只有 4 个漏洞已经被修复，6 个漏洞已被 QNAP 确
认但未有修复，还有 5 个漏洞 QNAP 完全没有作出公布。
根据资安业界标准，研究人员会提供 90 天的披露期限，在此时间内不会向公众透露漏洞详
情，不过 watchTowr 称 QNAP 得悉漏洞已超过 90 天期限，间期已多次要求延期，对于这
些不存在补救障碍的漏洞，厂方仍然一直拖延处理，研究人员决定公开漏洞迫使其尽快修补
。
watchTowr 目前已经在 GitHub 上公布了 QNAP NAS 上一个无需身份验证的堆叠溢位漏洞 (
CVE-2024-27130)，只要有效的 NAS 使用者共享恶意文件，就可能导致远端程式码执行 (RC
E) ，向 QNAP 施压要求立即正视问题。
QNAP 曾经发生过 Qlocker 及 Deadbolt 等勒索软件攻击，按道理应该对关键漏洞处理变得
更加积极，然而这次事件让 watchTowr 感到相当震惊，尽管两方沟通上 QNAP 表现非常合
作，但 watchTowr 仍会毫不犹豫地谴责那些忽视 90 天披露期限的供应商，修补漏洞是刻
不容缓。