QNAP已發布緊急安全通告，針對在知名Pwn2Own Ireland 2025賽事中成功攻陷QNAP網絡附加存儲（NAS）設備的七個0Day漏洞推出補丁。這套全面更新涵蓋了核心操作系統和主要應用程序中的關鍵缺陷，包括重要的備份工具和惡意軟件清除工具。

在Pwn2Own賽事現場，Summoning Team、DEVCORE、Team DDOS以及CyCraft技術實習生團隊等多個頂級安全研究團隊成功演示了漏洞利用過程。

漏洞影響范圍與修復方案

1. 核心操作系統：QTS與QuTS hero

QNAP主要操作系統中發現多個漏洞（CVE-2025-62847、CVE-2025-62848、CVE-2025-62849）。雖然公告未明確提供CVSS評分，但0Day特性結合Pwn2Own成功攻陷的事實表明，這些漏洞可能導致高風險遠程代碼執行和數據泄露。

2. 備份與數據保護應用

兩款核心數據保護工具存在漏洞：

• HBS 3混合備份同步工具（CVE-2025-62840、CVE-2025-62842）：該關鍵備份應用修復了多個漏洞。由于此工具處理所有備份任務，漏洞可能使攻擊者獲取歷史數據和遠程備份目標。26.1.x及更早版本用戶必須升級至HBS 3 Hybrid Backup Sync 26.2.0.938或更高版本。
• Hyper Data Protector（CVE-2025-59389）：該專用數據保護工具的漏洞已在2.2.4.1及后續版本中修復。

3. 惡意軟件清除工具（CVE-2025-11837）

QNAP安全工具Malware Remover中發現0Day漏洞。6.6.x版本用戶需升級至Malware Remover 6.6.8.20251023或更高版本。

這些漏洞已在受控環境中證實可被利用，意味著現實攻擊者能快速將這些技術整合進攻擊活動。鑒于NAS設備存儲數據的高價值性，QNAP用戶應立即安裝固件和應用更新。