暴露在公网上的威联通 NAS 会被勒索攻击
本帖最后由 5long 于 2022-2-1 23:54 编辑BleepingComputer 的报导: https://www.bleepingcomputer.com ... btc-for-master-key/
QNAP 的官方公告:https://www.qnap.com/zh-cn/security-news/2022
1 月 26 日这是新的一波,攻击组织名为 DeadBolt
元旦前后已经开始有一波
去年 4 ~ 5 月期间还有一波
虽说“如果没有必要就不应把 NAS 暴露到公网”
但 UPnP + DDNS 仍然是个起步简单、不需额外加装软件的配置方案
说不定很多人已经不知不觉就中招了但自己还没发现(
01-27 更新:
外国网友在 Reddit 上表示自己的 NAS 被自动强制升级系统了:
https://redd.it/sds6rb https://redd.it/sdsf02
不知道是否与此事有关
02-01 更新:
官方的新公告(网站是中文版, 但公告本身暂时没有中文版):
https://www.qnap.com/zh-cn/security-news/2022/descriptions-and-explanations-of-the-qts-quts-hero-recommended-version-feature
尝试解释"为什么你的 NAS 被自动强制升级系统了" 这个QNAP公告就是说还没有找到漏洞在哪里,所以先让大家把设备下线?4月单位已经中招过一次的路过。
—— 来自 vivo NEX S, Android 10上的 S1Next-鹅版 v2.5.2-play rrpw777 发表于 2022-1-26 22:10
这个QNAP公告就是说还没有找到漏洞在哪里,所以先让大家把设备下线?4月单位已经中招过一次的路过。
——...
是的,目前没有明确结论
只能先用阻隔访问的方式防御(平时也推荐这么做
比如建个 VPN
ZeroTier 这种应该还算简单,而且在很多系统上都有客户端 好可怕 这些nas不是都带docker吗 挂个SS隧道 只放SS的公网端口映射 在外面连回内网访问 久经考验的技术 应该没啥问题 Saker_bobo 发表于 2022-1-26 22:25
这些nas不是都带docker吗 挂个SS隧道 只放SS的公网端口映射 在外面连回内网访问 久经考验的技术 应该没啥问 ...
就怕无意中 / 图省事开了 UPnP
那么再怎么防范也能绕过去(
严格来说,安全防范最好还是不要自己发明方案
SS 设计之初不是用来当 VPN 的,现在也不是
有现成的 VPN 软件就直接拿来用就最好
而且公网端口映射也不是必须一直开着的,完全可以按需临时穿透 收到邮件就赶紧去关了
—— 来自 Xiaomi Mi 10, Android 11上的 S1Next-鹅版 v2.5.2-play 5long 发表于 2022-1-27 00:19
就怕无意中 / 图省事开了 UPnP
那么再怎么防范也能绕过去(
主要是这些隧道可以和规则代理程序一起用 做到仅代理内网 其他不动 VPN的话就很麻烦了 直接开个frp不行吗... 玛德喷了昨天刚买个威联通
—— 来自 Xiaomi Mi9 Pro 5G, Android 11上的 S1Next-鹅版 v2.5.2 本帖最后由 junning1999 于 2022-1-27 02:21 编辑
自家有公网IP的话还是考虑搞个有VPN服务器功能的路由器,访问NAS的时候从公网挂VPN进入内网。直接把NAS暴露在公网上真的不安全。 开个l2tp回家又费不了多少力气 我只开了bt软件下载和上传的接口,安全吗
—— 来自 vivo V1981A, Android 11上的 S1Next-鹅版 v2.5.2-play 系统日志里经常看到大洋对岸IP的连接尝试
—— 来自 samsung SM-G9910, Android 12上的 S1Next-鹅版 v2.5.2 一直用zerotier
—— 来自 Xiaomi Redmi K20 Pro, Android 10上的 S1Next-鹅版 v2.5.2 我家nas是gentoo linux,开了ssh端口,但路由那边对外暴露的不是22,也经常有人扫,经常登上去log都被刷屏了,不过因为用的是证书所以基本不可能被暴力破解,但日志看着也烦。
后来在路由(routeros)防火墙加了防ddos的规则,限定时间内连接次数超了就直接ban ip到12个小时,就清净多了,开机几天已经drop掉几十万个包了 这玩意太折腾了 俺是绝对不会在自家路由器上直接对外开放服务的,只留个wireguard VPN。 天气姐姐 发表于 2022-1-27 07:52
我只开了bt软件下载和上传的接口,安全吗
—— 来自 vivo V1981A, Android 11上的 S1Next-鹅版 v2.5.2-pla ...
不好说, 现在还没公布漏洞的细节
如果要我猜测
厂商自研软件出问题的嫌疑最大
成熟 & 及时更新到新版的 BT 软件应该没什么大问题
再就是 UPnP 在 NAS / 路由器上可能是默认自动开启的
如果一直没去关注过这个, 可能会中招
昨晚我看了下自己家的联通光猫
根本没找到哪里能配置 UPnP
恐怕是一直默认开启了 nas上公网太可怕了,有点啥事直接数据一锅端。
上公网这么可怕的是还得用服务器 看到这条消息,我把群晖防火墙打开,路由器防火墙加强了一级 https://p.sda1.dev/4/d4f3e459fcce0c040695f20eee63698b/e5f84ce96bd1e7da.png
威联通自己的锅,可能性比较大。勒索的人直接说了威联通安全没做到位。
用白群晖升级到最新版应该没事。 蒲公英x1这种应该没问题?
—— 来自 Xiaomi Mi9 Pro 5G, Android 11上的 S1Next-鹅版 v2.5.2 直接QNAP里把upnp关了。
应该问题不大了,就局域网内部用用。 这几天重新布置书房,前几天刚把NAS关机了一直没开 建议有空时用工具从外网全端口扫一遍自家的公网IP。今天看这新闻又检查了一遍,只有qnap downloadstation的4433 6881两个BT端口通过upnp映射出去了。 赶紧登录NAS关机了,晚上再回去仔细弄一下安全设置 Px4 发表于 2022-1-27 16:17
啥工具能弄?
先用nmap从外网扫路由器公网IP,发现的端口如果无法断定是哪个内网主机的话进内网扫整个网段,看有没有设备开放了对应端口,之后再在设备上看是什么服务监听这个端口,或者路由器直接关upnp 今天威联通官方表示,QNAP 全球安全中心发现,目前有一波针对 QNAP NAS 的攻击正在进行中,该伙犯罪分子采用 DeadBolt 的勒索软件,通过利用伪装的 NAS 登录页骗取管理员密码,随后对文件进行加密勒索,每个文件尾部都会加密成 deadb 后缀。 UPnP主要是植入木马的机器会用他开放端口搞事情。
如果你用来操作的设备不乱点,及时更新补丁,不会有事情 小白一只,家里用的ts251,联通宽带有公网ip,路由是小米ax6000,需求是用qsync保证单位电脑和家里电脑部分文件同步,之前都是myqnapcloud域名,这次在qnap里关闭了upnp,还需要做什么?
—— 来自 samsung SM-G9810, Android 12上的 S1Next-鹅版 v2.5.2-play nas买来玩pt的,里面全是电影剧集应该没什么事吧
—— 来自 S1Fun luffyzhou 发表于 2022-1-30 19:26
小白一只,家里用的ts251,联通宽带有公网ip,路由是小米ax6000,需求是用qsync保证单位电脑和家里电脑部分 ...
顶楼的官方公告里建议的就只有:关闭各种形式的端口转发(包括手动配置的, 和 UPnP)
官方推荐使用 myQNAPcloud
威联通的微信公众号还额外推荐更新到最新版
我自己的 NAS 是用了 Tailscale 这个 VPN 服务
而不是用 QNAP 的服务(况且我也没有 QNAP 的软硬件,只是看戏) 愉悦的麻婆 发表于 2022-1-30 19:50
nas买来玩pt的,里面全是电影剧集应该没什么事吧
—— 来自 S1Fun
对勒索攻击方来说
实施攻击没多大成本(这个不确定,是猜的。但低成本的攻击才容易大规模实施)
你的 NAS 上有什么内容不重要
只要多攻破一个,就多一点收到赎金的可能性
类似于,骗你打钱的诈骗电话
就算你不会上当受骗
接电话浪费的时间也是你自己的损失 威联通真是不省心。话说改用ipv6公网地址会安全很多吧,被黑客扫到的概率犹如大海捞针。 liwangli1983 发表于 2022-1-27 10:33
我家nas是gentoo linux,开了ssh端口,但路由那边对外暴露的不是22,也经常有人扫,经常登上去log都被刷屏 ...
ros的psd功能是吧?确实很不错。只ban12小时太仁慈了。我稍微调低了psd的阈值,但是直接加黑名单ban180天。额外加了一条规则,5分钟内三次尝试连22 3389这种敏感端口的,也ban180天。现在黑名单上2000个ip。 catxing 发表于 2022-1-30 23:10
ros的psd功能是吧?确实很不错。只ban12小时太仁慈了。我稍微调低了psd的阈值,但是直接加黑名单ban180天 ...
一般12个小时足够了,我的观察是这种扫一般顶天扫5,6个小时,而且一周可能碰上那么一次吧,频率不高
而且表里加太多了也影响性能吧
页:
[1]
2