QNAP NAS设备固件更新问题总结

问题概述

QNAP近期推送的固件更新（QTS 5.2.2.2950，build 20241114）导致部分用户无法访问其网络附加存储（NAS）设备。尽管QNAP已撤回问题固件并发布了修复版本，但这一事件引发了用户对其设备安全性和可靠性的担忧。

问题详情

1. 固件更新时间与问题发现

   • 固件更新于2024年11月19日左右推送。
   • 用户反馈更新后设备功能异常，QNAP随即撤回固件并展开全面调查。
   • 修复版本在24小时内重新发布。

2. 受影响设备与问题类型

   • QNAP官方称问题主要影响“TS-x53D系列和TS-x51系列的部分型号”。

   • 但社区用户反馈显示，更多型号的设备也出现问题，包括：

     • 用户被拒绝授权访问。
     • 设备无法正常启动。
     • Python未安装，导致部分应用和服务无法运行。

3. 用户支持与反馈

   • QNAP建议受影响用户降级固件或联系技术支持。
   • 用户对QNAP支持服务的响应速度和质量表示不满，尤其是对备份系统无法访问的紧急情况。

安全背景

1. 固件更新的初衷

   • 此次更新旨在修复QNAP设备中的近期安全漏洞。
   • QNAP设备是黑客的常见目标，例如2023年2月的一个严重漏洞影响了近30,000台设备，允许远程SQL注入和潜在设备控制。

2. 近期安全事件

   • DeadBolt勒索软件曾感染数千台QNAP设备，迫使QNAP紧急推送更新。
   • 安全研究机构WatchTowr发现QNAP操作系统和云服务中的15个漏洞，并在QNAP未及时修复后公开了这些漏洞，称为“QNAPping at the Wheel”。

建议与总结

1. 用户应对措施

   • 受影响用户应降级固件或联系QNAP支持。
   • 用户在更新固件前应备份重要数据。

2. 设备安全建议

   • QNAP设备应通过VPN或其他安全措施连接到互联网，以降低被攻击的风险。

3. QNAP的挑战

   • 此次事件暴露了QNAP在固件发布流程和用户支持方面的不足。
   • 用户对QNAP设备的安全性和可靠性信心受挫，可能影响其市场声誉。

后续进展

Ars已联系QNAP寻求评论，并将根据回应更新相关信息。