https://reurl.cc/Yk2Z6o 資安院發布 Synology 裝置資安警示　高風險漏洞可遭串聯利用　呼籲民眾與 中小企業儘速更新 內文： 2026/2/9 下午 05:11:43 國家資通安全研究院發布提醒指出，已公告之 Synology 網路儲存設備（NAS）漏洞，在特定條件下仍可能被利用，且國內仍有相當數量設備尚未完成修補。資安院呼籲使用相關設備的民眾與中小企業，應儘速完成系統更新，以降低資料外洩與勒索攻擊風險。 資安院說明，受影響的 Synology 產品包含 BeeStation、DiskStation 及 DiskStation Manager（DSM）等相關系統與設備，相關設備在國內具有一定使用普及度。部分民眾會將設備作為家庭照片、影音及電腦資料的集中保存工具，中小企業、工作室、診所或學校，則可能透過相關系統進行檔案共享、資料備援，或提供內部與遠端存取服務。資安院提醒，若上述設備或系統長時間連網，未即時更新修補，將可能成為駭客鎖定的攻擊目標。 資安院長期追蹤分析國內外資安漏洞與攻擊趨勢，並持續評估國內設備可能面臨的曝露風險。本次事件涉及多項高風險漏洞，攻擊者在特定條件下，可能透過多個弱點逐步取得系統控制權。雖然相關漏洞已於 2024 年陸續被研究並於 2025 年公告，資安院近期透過設備識別發現，國內仍有超過一千台相關設備對外暴露，且尚未完成更新，風險持續存在。 資安院進一步指出，已有資安研究人員實際驗證並公開相關漏洞的利用方式，駭客利用門檻明顯降低，可能對尚未修補的設備發動掃描與攻擊，短期內風險明顯升高。若設備未及時修補，最壞情況可能導致個人或企業檔案遭竊、備份資料被刪除，甚至整台 NAS 遭加密勒索，對日常生活與營運造成重大影響。 資安院表示，資安院會持續性進行漏洞研析與監測，掌握高風險設備態樣，並與相關單位合作聯防，協助國內降低資安風險。資安院呼籲，持有相關 Synology 設備的民眾與企業，請立即檢查系統版本並完成更新，避免設備成為駭客攻擊的目標。 修補與防護建議 原廠 Synology 已發布安全更新，請民眾及中小企業儘速完成修補，以降低資料外洩與勒索軟體等。原廠 Synology 已釋出修補程式。資安院呼籲持有相關設備企業組織與個人用戶，請立即執行以下防護步驟： 登入系統：透過電腦瀏覽器或手機 App 登入您的設備。 執行系統更新：進入設定頁面，透過系統更新或套件中心，更新系統版本。 降低攻擊面：若非必要，建議關閉路由器轉送(Port Forwarding)與UPnP，進一步可確定設備連接在路由器區域網路，以內網存取方式存取系統管理介面。 若民眾發現裝置異常，可洽Synology原廠客服管道尋求技術支援。 資安風險漏洞細節資訊 CVE-2024-50629：影響 Synology BeeStation Manager（BSM）與 Synology DiskStation Manager（DSM）特定版本(BSM 1.1-65374之前版本，DSM 7.1.1-42962-7、7.2-64570-4、7.2.1-69057-6、及7.2.2-72806-1之前版本)，可能導致遠端攻擊者讀取部分檔案內容。 CVE-2024-50630：影響 Synology Drive Server（webapi 元件）特定版本(BSM 1.1-65374之前版本，DSM 3.0.4-12699、3.2.1-23280、3.5.0-26085、及3.5.1-26102之前版本)，為關鍵功能缺少必要驗證之問題，可能使遠端攻擊者取得管理者憑證。 CVE-2024-50631：影響 Synology Drive Server（system syncing daemon）特定版本(BSM 1.1-65374之前版本，DSM 3.0.4-12699、3.2.1-23280、3.5.0-26085、及3.5.1-26102之前版本)，屬 SQL Injection 弱點，可能使遠端攻擊者注入 SQL 指令(限制寫入操作)。 -------------------------------------------- 剛剛在找硬碟跟NAS的價格，忽然看到這品牌新聞，AI推好的品牌是Ubiquiti / Synology，查了一下都好貴，無意間看到這家公司的資安漏洞。這家賣的東西也不便宜，AI很會推高單價的，我只是說希望避開中國品牌而已 ----- Sent from JPTT on my Samsung SM-S9280. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.222.16.55 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1770901224.A.96A.html