群暉修補旗下NAS產品telnetd重大漏洞，呼籲盡速更新避免遭攻擊者取得Root權限

國產NAS主要廠商之一的群暉（Synology），於1月29日發布旗下NAS 產品DSM作業系統更新，修補一項與telnetd服務相關的重大安全漏洞。

根據群暉公告，此次釋出的DSM 7.3.2-86009 Update 1更新版本，修正了一項與 telnetd相關的安全漏洞CVE-2026-24061，但未進一步說明漏洞細節。不過，依據我們稍早報導，CVE-2026-24061為源自Linux平臺常用網路工具套件GNU Inetutils的telnetd服務重大漏洞，CVSS風險評分高達9.8。

資安業者GreyNoise指出，前述漏洞存在時間長達11年，直到近期才被揭露，並於1月20日對外公告，目前已觀察到該漏洞遭到實際利用的跡象，攻擊者可藉由此漏洞繞過驗證機制，取得系統Root權限，進而執行任意惡意操作。

CVE-2026-24061會影響GNU Inetutils 1.9.3至2.7版本，GNU已發布修補程式，但仍需由採用該套件的各Linux作業系統平臺廠商，將修補整合至系統中，並向用戶提供更新。群暉此次釋出的DSM更新，即為相關Linux作業系統針對該漏洞的修補措施之一。原則上，DSM會自動下載並安裝此更新，並於完成後重新啟動系統；使用者亦可選擇自行下載更新檔案，手動進行更新作業。

經我們進一步詢問，群暉向我們提供了關於此次漏洞修補的進一步訊息。DSM預設並不會啟用Telnet協定，DSM本身的應用程式也不會使用這項協定，原則上不會受到此漏洞影響，而當使用者欲使用Telnet 協定時，DSM也會發出警告訊息。不過，由於DSM仍保有開啟Telnet協定的功能，因此群輝還是修補了此漏洞。另外群暉也在研擬於DSM移除Telnet協定，大幅減少未來相關漏洞的風險。