1. 威胁行为者进行销售利用：声称可以访问 Apple、三星和 100 多家公司的客户数据

据称，威胁行为者出售了一个漏洞，该漏洞可提供 100 多家公司（例如 苹果、惠普、华为、三星、联想、戴尔 和许多其他知名公司）购买的客户信息。这些数据包括 帐单和送货地址、序列号、公司名称、帐号、电话号码、跟踪号码 （所有订单和帐户信息）。

2. QNAP 公布 NAS 软件套件中的三个严重缺陷（CVE-2024-32764、CVE-2024-32766、CVE-2024-27124）

黑客可以劫持您的 NAS

在最近的一项开发中，网络附加存储 (NAS) 设备的领先制造商 QNAP在其 NAS 软件产品套件中 发现了三个严重 漏洞 。这些漏洞如果被利用，可能会产生严重影响，促使 QNAP 向其用户群发出紧急行动呼吁。

QNAP 是网络附加存储 (NAS) 设备的领先制造商，已向用户 发布 紧急安全公告，涉及其 NAS 软件产品套件中的多个严重 漏洞 。这些缺陷如果被利用，可能使攻击者能够执行未经授权的操作，例如绕过身份验证机制和远程执行命令。

• CVE-2024-27124 (CVSS 7.5) 和 CVE-2024-32766 (CVSS 10)： 这些缺陷主要针对操作系统命令注入，攻击者可以通过这种技术向易受攻击的系统发送恶意命令，从而允许他们运行任意代码。这可能会导致数据被盗、恶意软件安装或 NAS 被完全接管。
• CVE-2024-32764 (CVSS 9.9)： 一个危险缺陷，允许未经授权访问 myQNAPcloud Link 服务中的关键功能。

• 数据敏感性： NAS 设备可存储从个人照片和文档到商业计划和客户数据库的所有内容。这些数据是网络犯罪分子的金矿。
• 勒索软件天堂： 攻击者经常以 NAS 设备为目标来安装勒索软件 ，锁定所有者的数据，直到支付赎金为止。
• 攻击发射台： 受损的 NAS 可用作基础，对同一网络上的其他设备发起攻击，从而进一步造成损害。

• QTS 5.1.3.2578 内部版本 20231110 及更高版本
• QTS 4.5.4.2627 内部版本 20231225 及更高版本
• QuTS Hero h5.1.3.2578 内部版本 20231110 及更高版本
• QuTS Hero h4.5.4.2626 内部版本 20231225 及更高版本
• QuTScloud c5.1.5.2651 及更高版本
• myQNAPcloud 1.0.52 (2023/11/24) 及更高版本
• myQNAPcloud Link 2.4.51 及更高版本