英美政府:QNAP NAS 遭感染 6.2 萬台,SSH 後門開啟+無法更新

作者 | 發布日期 2020 年 08 月 01 日 0:00 | 分類 伺服器 , 網路 , 資訊安全 line share follow us in feedly line share
英美政府:QNAP NAS 遭感染 6.2 萬台,SSH 後門開啟+無法更新


美國網路安全局 CISA 與英國國家網路安全中心 NCSC 7 月 27 日報告指出,去年 11 月 QNAP 爆發 QSnatch 惡意程式攻擊開始,至今已有近 6.2 萬台 QNAP NAS 受感染,QNAP 官方已釋出更新程式,但 QSnatch 會修改系統主機檔案,讓 QNAP NAS 無法更新,CISA、NCSC 建議必須先完全恢復出廠設定,再升級韌體,才能從裝置徹底清除 QSnatch 。

據英國及美國政府研究報告指出,直到 2020 年 6 月,全球將近 6.2 萬台 QNAP 裝置感染,QSnatch 惡意程式透過 DGA 網域產生演算法定期生成不同網域名,並建立 C&C 伺服器連線送出 HTTP 封包,將使用者的帳戶及密碼、系統設定檔或 log 檔內的重要資料,加密傳給 C&C 伺服器,同時開啟 SSH 後門,植入 webshell 供駭客遠端存取。

更重要的是,研究人員懷疑 QSnatch 具持續攻擊能力,因為即使 QNAP 官方釋出更新程式,但惡意程式仍能修改系統檔案,將 NAS 更新使用的核心網域名修改為過期版,讓已被感染的 QNAP NAS 無法更新。

英美團隊研究多月後,仍未查出 QSnatch 惡意程式的背後組織和目的,亦未能查出是透過舊版韌體漏洞,還是破解管理員密碼入侵 QNAP NAS 裝置,可見 QSnatch 的攻擊者能力相當高。兩國專家建議,所有曾感染 QSnatch 的 QNAP NAS 裝置,必須完全恢復出廠設定,再升級韌體,才能徹底清除 QSnatch。

(本文由 Unwire HK 授權轉載;首圖來源:QNAP