群暉修補NAS產品telnetd重大漏洞,若未更新可能導致遠端執行任意程式碼
漏洞概述
群暉(Synology)近日發布安全公告,修補與Telnet服務相關的重大漏洞CVE-2026-24061,該漏洞源自GNU Inetutils網路工具套件中的telnetd元件,屬於CWE-120緩衝區溢位弱點。問題來自telnetd的LINEMODE SLC處理程序,在寫入資料前未能檢驗緩衝區空間是否足夠,導致攻擊者可藉此執行越界寫入(out-of-bounds write)的非法存取。
風險與影響
此漏洞若未及時更新,攻擊者可能繞過正常的帳號驗證機制,直接取得系統Root權限,並執行任意惡意指令,造成遠端程式碼執行風險。資安業者已觀察到實際利用跡象,且該漏洞存在長達11年,風險極高。
官方建議與應對措施
- 群暉建議用戶盡速更新至DSM 7.3.2-86009 Update 1版本以修補此漏洞。
- 專家建議用戶直接禁用Telnet服務,因大多數使用者並無實際需求使用該服務,可有效降低風險。
- 用戶應強化帳號與密碼安全設定,並定期檢查系統異常行為,例如異常的程式碼執行或FileStation異常。