2020-07-31
美、英政府:6.2 萬台 QNAP NAS 被感染
被植入 SSH 後門、Webshell 受黑客操控
文: KK Wong / 新聞中心
文章索引: IT要聞 軟件 伺服器 QNAP

美國網路安全局 CISA 與英國國家網路安全中心 NCSC  27日發佈研究報告,指出 QNAP 爆發 QSnatch 惡意程式攻擊,至今已近 6.2 萬台 QNAP NAS 到感染,雖然 QNAP 已經釋出更新程式,但該惡意程式會修改系統主機的檔案,讓 QNAP NAS 無法獲得更新,CISA、NCSC 建議必須先進行完整的回復出廠設定,再來升級韌體。

 

據英、美政府的研究報告,直至 2020 年 6 月全球有將近 6.2 萬 QNAP 裝置感染,QSnatch 惡意程式透過 DGA 網域產生演算法定期生不同網域名,並建立 C&C 伺服器連線送出 HTTP 封包,將使用者的帳戶及密碼、系統設定檔或 log 檔內的重要資料,加密傳給 C&C 伺服器,同時會開啟 SSH 後門,植入 web shell 供駭客遠端存取。

 

 

QNAP Vulnerabilities

 

 

 

CISA 與 NCSC 已經研究多月後,仍未查出 QSnatch 惡意程式的背後組織及最終目的,更查不出它是如何入侵 QNAP NAS 裝置,是透過舊版韌體漏洞還是破解管理員密碼,目前只能確定 QSnatch 背後的黑客能力相當高。

 

更重要的是,研究人員認為 QSnatch 具備持續攻擊的能力,儘管 QNAP 已經釋出更新程式,但 QSnatch 會修改系統檔案,將 NAS 更新使用的核心網域名修改,讓中招的 QNAP NAS 無法獲得更新。

 

CISA 和 NCSC 專家建議,所有曾經感染 QSnatch 的 QNAP NAS 裝置,必須先進行完整的回復出廠設定,再來升級韌體,以避免 QSnatch 仍潛藏系統之中。

 

 

 

美國 CISA 安全風險公告︰

https://us-cert.cisa.gov/ncas/alerts/aa20-209a

 

 

QNAP

 

 

 

英國 NCSC 安全風險公告︰

https://www.ncsc.gov.uk/news/legacy-risk-malware-targeting-qnap-nas-devices

 

QNAP

分享到:
發表評論