QSnatch竊密程式感染將近 62000 台QNAP NAS設備 被植入 SSH 後門、Webshell受黑客操控 快來按照資安通告逐步加強防範
QSnatch竊密程式感染將近 62000 台QNAP NAS設備 被植入 SSH 後門、Webshell受黑客操控
QNAP QTS 資訊安全簡介影片:
相關連結;
All QNAP NAS devices are potentially vulnerable to QSnatch malware if not updated with the latest security fixes. The malware, documented in open-source reports, has infected thousands of devices worldwide with a particularly high number of infections in North America and Europe. Further, once a device has been infected, attackers can prevent administrators from successfully running firmware updates.
- QNAP 資安通告:https://www.qnap.com/zh-tw/security-advisories/
- QNAP針對QSnatch完整討論:Security Advisory for Malware QSnatch
- CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware
- QSnatch - Malware designed for QNAP NAS devices
- 7/29 美國政府公告 CISA Potential Legacy Risk from Malware Targeting QNAP NAS Devices
All QNAP NAS devices are potentially vulnerable to QSnatch malware if not updated with the latest security fixes. The malware, documented in open-source reports, has infected thousands of devices worldwide with a particularly high number of infections in North America and Europe. Further, once a device has been infected, attackers can prevent administrators from successfully running firmware updates.
美、英政府今天發生警告,一隻鎖定台灣的QNAP NAS儲存系統的竊密惡意程式QSnatch,已經感染了全球近6.2萬台機器。
美國網路安全暨基礎架構安全署(CISA)及英國國家網路安全中心(NCSC)聯合安全報告指出,QSnatch去年10月被人發現迄今,感染的QNAP裝置也從一開始的7,000多台成長到今年6月中的6.2萬台,而且北美及歐洲有為數不少的受害者。估計美國和英國各有7,600及3,900台QNAP機器遭到挾持。
QNAP迄今並未說明QSnatch是如何侵入系統的,只說企業應儘速升級到最新版韌體以免再度感染。根據這家公司的技術支援網站,QSnatch可能是經由QNAP韌體的漏洞進入,然後進入作業系統。QNAP已經於去年11月釋出修補程式。
2019年以來的爆發其實是QSnatch的第二波攻擊或變種。它第一版出現在2014年初到2017年中,兩者的攻擊程式不同,能力也較少。第二版的QSnatch能力很強大。它之所以得名,是因為它可開啟包括SSH和web shell等多種後門,使遠端駭客得以登入機器。它還能從設備中竊取帳密、系統設定及log 檔。即使你修補了其中一台NAS,被竊的帳密可能還是會被用來登入機器或存取網路其他系統。
更厲害的是,它還具能阻止QNAP NAS安裝新版韌體。CISA、NCSC指出,一旦QNAP NAS曾經感染QSnatch,它就會變更DNS設定及下載路徑,讓用戶無法下載到最新版韌體。幸好QSnatch的後台控制系統現在已經停止運作,美、英政府建議,曾經感染過或是從未升級過韌體的企業用戶都應將系統回復成出廠設定,將可能潛伏的QSnatch清除殆盡再來安裝新版韌體。
不過QSnatch背後的組織為誰,有什麼目的,目前都還不得而知。唯一能確定的是這隻程式相當複雜,攻擊者對操作安全的知識也相當深厚。
美國網路安全暨基礎架構安全署(CISA)及英國國家網路安全中心(NCSC)聯合安全報告指出,QSnatch去年10月被人發現迄今,感染的QNAP裝置也從一開始的7,000多台成長到今年6月中的6.2萬台,而且北美及歐洲有為數不少的受害者。估計美國和英國各有7,600及3,900台QNAP機器遭到挾持。
QNAP迄今並未說明QSnatch是如何侵入系統的,只說企業應儘速升級到最新版韌體以免再度感染。根據這家公司的技術支援網站,QSnatch可能是經由QNAP韌體的漏洞進入,然後進入作業系統。QNAP已經於去年11月釋出修補程式。
2019年以來的爆發其實是QSnatch的第二波攻擊或變種。它第一版出現在2014年初到2017年中,兩者的攻擊程式不同,能力也較少。第二版的QSnatch能力很強大。它之所以得名,是因為它可開啟包括SSH和web shell等多種後門,使遠端駭客得以登入機器。它還能從設備中竊取帳密、系統設定及log 檔。即使你修補了其中一台NAS,被竊的帳密可能還是會被用來登入機器或存取網路其他系統。
更厲害的是,它還具能阻止QNAP NAS安裝新版韌體。CISA、NCSC指出,一旦QNAP NAS曾經感染QSnatch,它就會變更DNS設定及下載路徑,讓用戶無法下載到最新版韌體。幸好QSnatch的後台控制系統現在已經停止運作,美、英政府建議,曾經感染過或是從未升級過韌體的企業用戶都應將系統回復成出廠設定,將可能潛伏的QSnatch清除殆盡再來安裝新版韌體。
不過QSnatch背後的組織為誰,有什麼目的,目前都還不得而知。唯一能確定的是這隻程式相當複雜,攻擊者對操作安全的知識也相當深厚。
===
2019-11-07 回應 QSnatch 惡意軟體攻擊事件:立即採取行動,保護 QNAP NAS
2019-11-07 回應 QSnatch 惡意軟體攻擊事件:立即採取行動,保護 QNAP NAS
台灣台北,2019 年 11 月 7 日 - 運算、網通及儲存解決方案的創新者威聯通®科技 (QNAP® Systems, Inc.) 今日發出聲明回應近日國外資安單位通報及媒體報導關於 QSnatch 惡意軟體鎖定 QNAP NAS 並意圖獲得存取權限之事件。QNAP 已於 11 月 1 日更新其 QTS 作業系統的 Malware Remover 惡意軟體偵測及移除程式,並於 11 月 2 日發布更新後的資安公告說明現況。QNAP 強烈建議使用者盡速安裝最新的 Malware Remover 程式。使用者可從 QTS 內的 App Center 進行 Malware Remover 安裝/更新,或自行從 QNAP 網站下載並在 QTS 內安裝。QNAP 亦在資安公告中列出一系列建議措施供用戶參考,以提升 QNAP NAS 安全性並增加入侵的難度。
此外,QNAP 亦鄭重澄清,從未透過任何管道表示必須完整重設系統並清除所有使用者資料才能移除惡意軟體。使用者應採取資安公告中所列的建議事項,或者聯繫 QNAP 請求技術支援。使用者可在此獲得請求技術支援的詳細說明。
同時,QNAP 感謝芬蘭 NCSC-FI 及德國 CERT-Bund 於事件調查過程中所提供的協助。
影片介紹:
如何處理QSnatch
關於 QNAP
QNAP 命名源自於高品質網路設備製造商(Quality Network Appliance Provider),我們致力研發軟體應用,匠心優化硬體設計,並設立自有生產線以提供全面而先進的科技解決方案。QNAP 專注於儲存、網通及智慧視訊產品創新,透過軟體訂閱制及多元化服務管道建構嶄新的科技生態圈。在 QNAP 的企業藍圖中,NAS 早已突破儲存裝置的框架,搭配雲基礎網路架構上的多項研發創新,協助客戶高效率導入人工智慧分析、邊緣運算及資訊整合應用,創造更大優勢與價值。
留言
張貼留言
發表一下意見,互動一下唄!