威联通科技(Systems)旗下的 NAS 设备深受市场欢迎,但日前却出现针对该品牌 NAS 设备使用者的安全公告,其指出当前有一波恶意加密货币攻击行动,正在刻意利用这些设备上两个未修补的重大固件漏洞。
尽管 QNAP 早在 2020 年 10 月就修复漏洞。但中国网安公司奇虎(Qihoo)360 网络安全研究实验室(Netlab)研究人员报告指出,有骇客专门锁定 QNAP 公司 NAS 设备所使用的未修补固件,展开 100 多种版本的广泛攻击活动。
根据 QNAP 10 月安全公告指出,这些漏洞会影响早期版本的 QNAP 3.0.3 Helpdesk 支援平台固件。编号 CVE-2020-2506 的漏洞属于不当存取控制漏洞,进而让攻击者获得 QNAP 设备的控制权。编号 CVE-2020-2507 第二支漏洞系属命令注入漏洞,可让远端攻击者执行任意命令。
UnityMiner 会隐藏挖矿进度和内存资源使用率以规避侦测
据最近网络看到的 QNAP 设备映射,尤以位在美国(554,481 名)和中国(550,465 名)共 110 万名 QNAP NAS 用户受到的影响最为严重,光两地就占了全球总感染数近 80% 的可观比例。
奇虎 360 Netlab 研究人员将感染这些储存设备的加密挖扩恶意软件称之为 UnityMiner。目前对于 UnityMiner 的历史,以及背后始作俑者都不甚清楚,因为过去似乎都没有关于恶意软件的任何报告。
“我们将这支恶意挖掘程式命名为 UnityMiner,我们注意到攻击者透过隐藏挖矿进度和真实的 CPU 内存资源使用率资讯等手法客制化程式,这也是为什么当 QNAP 用户透过 WEB 管理界面检查系统使用率时,他们压根看不到有什么异常的系统行为。”奇虎 360 Netlab 最近分析报告写道。
可行缓解之道:将 QNAP Hepler 支援平台固件更新至最新版本
360 Netlab 的研究人员辨识出 100 多版 QNAP NAS 固件弱点攻击,这些弱点早在 QNAP 于 2020 年 8 月漏洞更新前就被恶意利用了。
“QNAP NAS 用户应立即检查并更新固件。”研究人员说。除了更新固件,他们也建议 QNAP 用户应监视或阻止在有限攻击分析报告详列的恶意 IP 与 URL。研究人员解释,目前没有针对该漏洞公开任何可协助 QNAP 减缓问题并限制攻击的概念式验证或技术细节。
研究人员写道,活动基本内容包括骇客设定并启动挖矿程式的 UnityMiner 可执行安装程式(名为 unity_install.sh 和 Quick.tar.gz),并劫持原先设备的 manaRequest.cgi 程式。Quick.tar.gz 内含挖矿程式、挖矿组态档、挖矿启动脚本和伪造的 manaRequest.cgi 档。
研究人员解释道,UnityMiner 接着会利用 QNAP Helper 支援平台的处理程序漏洞,将系统文件 /home/httpd/cgi-bin/management/manaRequest.cgi 重命名为 manaRequests.cgi(此文件负责查看并修改设备的系统资讯)。
有趣的是,这些攻击背后的未知骇客会使用自己的代理池(proxy pool),以便将 Monero 加密货币钱包藏起来。劫持攻击指标包括为代理池“aquamangts.tk:12933”、“a.aquamangts.tk:12933”和“b.aquamangts.tk:12933”配置的 NAS 设备。此外,据研究人员指出,这个挖矿程式使用具备“aquamangts”根目录的变种 proxy 与 URL。目前缓解措施包括将 QNAP Hepler 支援平台固件更新至最新版本。
NAS 设备沦为甜美多汁的攻击目标
长久以来,NAS 设备一直是网络犯罪分子的火红攻击目标,QNAP 也无力扭转这个趋势。去年 12 月,这家储存制造商发布了某个重大严重性漏洞的安全公告,该漏洞允许远端攻击者能利用两个跨站脚本漏洞(CVE-2020-2495 和 CVE-2020-2496)任一漏洞接管设备。
另一个影响 QNAP 的安全事件发生在 2019 年,当时骇客透过名为 Qsnatch 的恶意软件锁定储存设备。同年也报导另一起安全事件,亦即出现专门锁定 Linux NAS 设备(包括 QNAP)的勒索软件(名为 QNAPCrypt)。
- Crypto-Miner Campaign Targets Unpatched QNAP NAS Devices
(首图来源:QNAP)
