美英資安機關警告,全球約6萬餘台NAS遭感染,QNAP提醒用戶須回復出廠預設後再作更新.png

美國 CISA、英國 NCSC 近日共同發表資安警訊,指出至2020年6月中旬為止,全球約有 62,000 台 QNAP NAS 設備遭到 QSnatch 惡意軟體駭入。

美國資安與基礎設施安全局(Cybersecurity and Infrastructure Securoty Agency, CISA)與英國國家資安中心(National Cyber Security Centre, NCSC), 近日共同發表資安警訊,指出至2020年6月中旬為止,全球約有高達 62,000 台 QNAP NAS 設備,遭到一個名為 QSnatch 的惡意軟體駭入。

報告中指出,這個惡意軟體的第一波攻擊遠從 2014 年就已啟動,第二波攻擊則起始於2018年末;到今年六月中旬為止的感染台數已經達到 62,000 台。

被感染的 QNAP NAS 約有 7,600 台位於美國境內,約 3,900 台位於英國。

報告說,QSnatch 植入後,會設定一個詐騙的 Web 管理界面登入畫面,竊取登入用的管理帳號和密碼,也會開啟 SSH 後門,並且安裝一個 Webshell,讓駭侵者遠端操控,更會將系統設定檔與 log 檔透過 https 傳回到駭侵者處。

QSnatch入侵後還會竄改系統更新機制,防止取得弱點修補後的更新套件,藉以在系統中持續寄生,導致病毒難以清除;CISA 建議已感染用戶,在更新之前必須完全將裝置重置為出廠預設狀態,再來更新韌體。原廠 QNAP 也提供了避免再次遭到 QSnatch 感染的建議,包括變更管理者密碼、取消 SSH 和 Telnet 服務、關閉連接埠 22、443、80、8080、8081。

QNAP同時也建議使用者安裝或更新Malware Remover套件至最新版本,Malware Remover 套件可對NAS進行掃描確認有無感染QSnatch,若確認感染將會主動將惡意軟體加以清除。


  • 參考連結

https://www.ncsc.gov.uk/news/legacy-risk-malware-targeting-qnap-nas-devices

https://us-cert.cisa.gov/ncas/alerts/aa20-209a

https://www.qnap.com/en/security-advisory/nas-201911-01

    twcert 發表在 痞客邦 留言(0) 人氣()