有两个关键的0 day漏洞影响着传统的QNAP系统的存储硬件的安全，这些漏洞会把设备暴露给未经认证的远程攻击者。

这些漏洞被命名为CVE-2020-2509和CVE-2021-36195，这两个漏洞会影响QNAP的TS-231型号的网络连接存储(NAS)的硬件安全，从而允许攻击者操纵存储的数据并劫持设备。同时这些漏洞，也会影响一些非传统的QNAP NAS装备。不过，需要注意的是，只有非传统的QNAP NAS硬件的补丁是可用的。

QNAP代表告诉Threatpost，现已被市场淘汰了的QNAP型号的TS-231 NAS设备最早是在2015年发布的。该型号的补丁也计划会在几周内发布。

当前型号的QNAP设备的补丁需要从QNAP下载中心下载并手动安装。

0 day漏洞信息披露

这两个漏洞都是由SAM Seamless网络的研究人员在周三披露的，他们只公布了很少的技术细节。此次披露是在QNAP官方公开漏洞之前进行的，这也符合SAM Seamless网络的漏洞披露政策，即给厂商三个月的时间披露漏洞细节。这两个漏洞都是在10月和2020年11月这个时间段发现的。

研究人员写道："我们向QNAP报告了这两个漏洞，厂商会有四个月的时间来修复它们，由于这个漏洞有很高的危险性，我们决定暂时不公开全部细节，因为我们相信这可能会对暴露在互联网上的数万台QNAP设备造成重大破坏。"

QNAP不愿具体说明还有多少传统的NAS设备可能会受到影响。该公司在给Threatpost的一份声明中表示："QNAP有许多类型的NAS产品。见：https://www.qnap.com/en/product/eol.php)。在该列表中，你可以找到对应型号的硬件维修或更换的时期、支持的操作系统、App更新和维护以及技术支持、安全更新的状态等信息。大部分的机型可以安全升级到最新版本，即QTS 4.5.2。然而，一些旧的硬件型号有固件升级的限制。例如TS-EC1679U-SAS-RP只能支持传统的QTS 4.3.4。"