软件缺陷引起安全问题 QNAP修复NAS备份及灾难恢复应用程序中严重错误
共 1870字,需浏览 4分钟
·
2021-07-08 10:15
今年5月,网络附加存储 (NAS) 设备制造商QNAP Systems表示,正在调查针对NAS设备的恶意攻击报告。近日,这家公司称解决了一个关键的安全漏洞,这个漏洞可以使攻击者能够破坏易受攻击的NAS设备的安全。
被追踪为CVE-2021-28809的不当访问控制漏洞是由TXOne IoT/ICS安全研究实验室的 研究人员在灾难恢复和数据备份解决方案HBS 3 Hybrid Backup Sync中发现的。
安全问题是由有缺陷的软件引起,该软件没有正确限制攻击者获取系统资源的访问权限,从而允许他们在未经授权的情况下提升权限、远程执行命令或读取敏感信息。为了减少软件漏洞问题,一般企业在软件开发周期当中会进行静态代码安全检测等安全检测,以减少系统漏洞降低后期维护成本。
QNAP表示,以下HBS版本中已经修复了安全漏洞,同时建议用户将应用程序更新到最新发布的版本:
QTS 4.3.6:HBS 3 v3.0.210507 及更高版本
QTS 4.3.4:HBS 3 v3.0.210506 及更高版本
QTS 4.3.3:HBS 3 v3.0.210506 及更高版本
虽然QNAP发布了安全公告,宣布CVE-2021-28809已修复,但该应用程序的发行说明并未列出自2021年5月14日以来的任何安全更新。
据该公司称,运行QTS 4.5.x和HBS 3 v16.x的QNAP NAS设备不受此安全漏洞的影响,也不会受到攻击。
被Qlocker勒索软件利用HBS后门帐户
QNAP于4月修复了HBS 3 Hybrid Backup Sync备份和灾难恢复应用程序中发现的另一个严重安全漏洞。
该公司最初将后门帐户缺陷描述为“硬编码凭据”,然后称为“不当授权”,它提供了一个后门帐户,该帐户允许Qlocker勒索软件运营商加密暴露在互联网上的网络附加存储 (NAS) 设备。
至少从4月19日开始,作为大规模活动的一部分,Qlocker开始将QNAP设备作为目标,部署勒索软件有效载荷,将受害者的文件移动到受密码保护的7zip档案中并索要赎金。
勒索软件团伙通过索要0.01比特币(当时价值约500美元)的赎金,在短短五天内赚了约 260,000美元。
同月,QNAP敦促客户保护NAS设备免受针对他们数据的Agelocker勒索软件攻击,两周后,又遭到了eCh0raix勒索软件的攻击。
QNAP设备曾在2019年6月和2020年6月期间受到eCh0raix 勒索软件(也称为 QNAPCrypt)的攻击。
建议想要保护NAS设备免受攻击的客户及时更新设备并遵从QNAP建议,以增强NAS安全性。
关于QNAP的NAS设备
这家总部位于台湾的公司以其NAS和专业网络录像机(NVR)解决方案而享誉全球,NAS不但可以为生活提供便捷也为工作提供支撑。多数情况下NAS可以有以下用处:
移动硬盘
影音库
网盘备份
软路由
搭建个人网站
总的来说,作为一个数据备份存储设备NAS不但可以随时备份还能便捷访问访问,流畅下载和浏览。随着人们对数据隐私要求越来越高,在很多人眼里NAS算得上一个不错的个人私有云,因此设备的安全性不言而喻。此前西部数据外置硬盘产品My Book Live因系统漏洞遭黑客攻击,导致一些用户一觉醒来数据被清除。随着社会和企业数字化转型,数据在其中发挥的作用至关重要。通过近来勒索攻击事件不难发现,数据已经成为犯罪分子用来进行勒索的筹码。软件安全是确保数据安全的基础,在软件开发当中建议将安全贯穿其整个流程,从开发初期利用静态代码安全检测查找可直接发现的漏洞并修正,同时对软件进行安全测试以巩固系统的安全性,避免类似西数硬盘的事件发生。
参读链接:
https://www.woocoom.com/b021.html?id=0a964976373d4e5896a39b92fd725a98
https://www.zhihu.com/question/368810324
https://www.securityweek.com/qnap-investigating-new-attacks-targeting-nas-devices