國家資通安全研究院(資安院)在2月9日示警,突顯臺灣有大量群暉NAS用戶仍缺乏設備安全更新的意識,指出用戶對於業者在一年多前公布與修補的漏洞CVE-2024-50629、CVE-2024-50630、CVE-2024-50631,仍未處理因應,因此資安院呼籲民眾與中小企業,請立即檢查群暉NAS系統版本並完成更新,避免設備成為駭客攻擊的目標。
基本上,本次事件涉及的漏洞已於2024年陸續被研究人員發現,群暉亦在修補後於2025年3月公開揭露上述3個CVE漏洞。
資安院之所以在此時特別發出警示,是因為近期已有資安研究人員實際驗證並公開相關漏洞的利用方式,駭客運用這些弱點的門檻明顯降低,高風險漏洞可遭串聯利用,可能對尚未修補的設備發動掃描與攻擊,因此,短期內風險態勢急遽升高。
為此資安院也特別評估臺灣用戶曝險情形,他們觀察到,近期國內仍有超過一千臺相關設備尚未完成更新且暴露於網際網路上,風險持續存在。
有哪些設備受影響?資安院指出,包括 Synology BeeStation、DiskStation 及 DSM 系統。由於這些產品廣泛應用於家庭多媒體儲存,以及中小企業、醫療與教育機構的檔案共享、資料備援及遠端存取服務,加上這類設備可能長時間連網,若未能及時更新修補,恐成駭客目標,呼籲民眾儘速處理。
關於這項威脅情資的確認,我們也聯繫群暉,請他們提出說明。該公司表示,資安院公告的CVE皆為已在過去修正完畢的漏洞,在通知用戶方面,群暉各產品皆有專屬的發行資訊,同時有專門的安全性諮詢頁面,會揭示已修正完畢的漏洞;另外群暉也會反覆提醒使用者務必即時更新。
對於是否有自動更新機制來避免用戶未及時更新?群暉表示,當前的DSM系統確實有自動更新機制,但部份用戶會有各自的考量而未必都會開啟此功能。同時,基於關閉自動更新會有一定程度的安全風險,因此2025年之後發行的機型, 群暉已移除了UI上關閉自動更新的選項,若使用者需關閉自動更新,必須手動在系統設定。
群暉亦表示,他們已有追蹤到資安院此次公告,並強調資安防護有賴各方共同維護,不論是群暉、資安院,目標都在於共同提醒用戶重視安全更新,並確保設備已及時升級至修正版本。
對於廠商公告修補漏洞後、用戶未及時更新的狀況,過去iThome持續報導許多這類消息,像是Shadowserver基金會,或是多家資安情資業者經常示警,發現特定漏洞在全球各國的曝險的數量,以此呼籲用戶儘速處理因應。
而去年底我們也報導英國國家網路安全中心(NCSC)試辦主動通報服務,同樣是希望透過公開資訊與可觀察的外部行為,避免企業因未主動追蹤漏洞而暴露風險的狀況,其特別之處是與郵件業者合作。如今我們看到資安院開始有這方面的行動,透過公告呼籲國內用戶注意。
畢竟,廠商提供修補程式只是第一步,用戶端是否能落實更新,才是完成修補的最後一哩路。
資安院發布 Synology 裝置資安警示20260209.jpg)
資安院在2月9日發布群暉NAS裝置裝置資安警示,同時公布修補與防護建議。(圖片擷取自資院院)
資料來源:iThome