按 Enter 到主內容區
:::

TWCERT-電子報

:::

網路儲存設備之資安威脅與防護

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-10-07
  • 點閱次數:330
網路儲存設備之資安威脅與防護 TWCERT/CC

1.簡介
2.NAS資安威脅
3.NAS資安防護
4.結論與建議


  • 網路儲存設備(Network Attached Storage, NAS),是一種附加於網路上的儲存設備,透過網際網路,NAS可以提供使用者隨時隨地存取資料,因此逐漸受到個人或企業的青睞。
  • 因NAS設備往往會被用來儲存企業或個人的大量資訊,且許多使用者並不會特別針對NAS設備進行維護作業,更忽略了聯網設備的資安風險,導致駭客逐漸將攻擊目標轉向NAS設備。
  • 全球知名的國內NAS廠商,都相當重視NAS設備的安全性,在逐漸增加的網路攻擊中,廠商會在使用的方便性與安全性之間,取得最佳的平衡。
  • 針對NAS設備的資安威脅問題,國內NAS設備生產廠商已紛紛提出相對應的防護機制及解決辦法,使用者也應提高資安意識,配合資安防護要求,才能營造安全的使用環境。

一、簡介

網路儲存設備(Network Attached Storage, NAS)是一種連接網路提供資料儲存之智慧儲存裝置[1]。NAS設備,如同其他聯網設備,會透過網際網路對外提供服務。雖然所有聯網設備均面臨不小的資安風險,但由於作為儲存裝置的NAS,使用者較少特別去維護、更新,因此逐漸成為駭客的攻擊目標,除了廠商要能緊急應變外,使用者也應針對其NAS設備,進行足夠的安全防護。NAS設備成為攻擊目標的主要原因,概述如下:

(1) NAS設備使用量增多引起攻擊者注意:NAS的使用數量增加的速度相較其他物聯網裝置快,導致一旦攻擊者發現某一NAS設備中的漏洞,即可將攻擊手法應用在相同類型的其他NAS設備上,其威脅將會比一般的物聯網裝置更大。
(2) NAS設備儲存的機敏資料誘發攻擊者覬覦:作為儲存裝置的NAS設備,往往會儲存大量的資訊,尤其是企業的機敏資訊,這對攻擊者具有相當的誘因。
(3) NAS設備防護機制良莠不齊:雖然大多數廠商注重且提供足夠的安全機制與設定,但仍有少部分廠商防護能力不足,導致NAS設備的安全性強弱不一,給攻擊者有可乘之機。
(4) NAS設備所在環境的其他聯網裝置易成破口:除了NAS設備本身的安全設定之外,與其相互聯結使用的其他聯網裝置,若沒有足夠的資安防護能力也容易成為入侵管道,再加上許多使用者並不會特別採行必要的資安防護措施,一旦使用到自身防護機制不足的NAS設備,即容易被成功攻擊[2]。

基於上述各種原因,以及使用者的輕忽,導致越來越多針對NAS系統之惡意程式問世,例如在2019年出現的勒索病毒Cr1ptTor,要求受害者支付定額贖金[3];以及2020年出現之QSnatch惡意程式,控制受感染的裝置後進行惡意行為[4]。此等針對NAS設備的資安威脅已層出不窮。

TOP

二、NAS資安威脅

為避免資料受損或遺失,在過往,使用者通常會將資料儲存及備份於實體隔離的硬碟或USB中,但這些直接儲存裝置需隨時攜帶才能方便使用,反而容易遺失或遭竊。因此,僅需透過網際網路便可備份或存取資料的NAS設備,便逐漸受到使用者的歡迎。

然而,這種類似於自建私有雲的NAS裝置,雖然其便利性增加許多,但由於該裝置會與網際網路相連結,因此在方便之餘,增加了許多資安風險。

2.1 NAS常見資安威脅
對於NAS而言,雖然廠商會針對其安全性進行一定程度的設計及防護,但其倚賴網際網路的通訊以及雲端共享模式,任何與其連接、相容的網路、裝置及軟體之缺陷,都可能對NAS裝置造成資安威脅,甚至使用者的習慣和使用方式,都是影響NAS安全性的重大因素。NAS常見的資安威脅包括:

(1) 暴力破解NAS裝置的弱密碼:通常NAS裝置會提供使用者一組公開的預設密碼,登入後再行更改其密碼。然而,許多使用者會沿用其預設密碼,或是為求方便而使用簡單、低強度的密碼設定,導致攻擊者容易透過暴力破解等攻擊手法,成功取得權限後入侵NAS設備。
(2) 攻擊者透過開源軟體或其他裝置漏洞入侵NAS設備:NAS設備往往會相容於許多不同類型的聯網裝置,這些裝置本身安全防護不一定足夠,導致一旦該裝置遭到攻擊者入侵,甚至感染惡意程式後,與之連接的NAS設備同樣會遭到惡意程式的攻擊。此外,隨著NAS設備功能需求越來越多,許多功能會借用開源軟體,以減少開發成本。然而,這些開源軟體的安全性良莠不齊,且非廠商本身可完全控制或修正,相較於注重資安的NAS設備本身,開源軟體更容易出現資安漏洞。
(3) 針對NAS零時漏洞進行攻擊:對於任何系統而言,即便對設備及系統的安全性相當注重,但在諸多的程式碼及其功能中,難免有開發時難以察覺的漏洞存在。而攻擊者透過長時間的觀察或偶然發現其資安漏洞,並且利用這個尚未修補的漏洞進行攻擊,導致NAS設備廠商及使用者在第一時間難以防禦而受到攻擊。

雖然國內廠商在NAS的發展過程中,對資安漏洞已逐一修補及排除,除了新興的攻擊之外,其基本的防護已經相當完備。然而,即便設備的安全性完備,使用者仍是其安全的不確定性之一,使用者是否按照設備安全規範安裝、執行,或是因為資安意識不足而產生防護上的破口,都是NAS設備仍然不時出現資安問題的一大原因。

使用者的疏忽主要是源自於未能及時更新NAS設備的軟體系統,許多NAS設備使用生命週期長,然而,這些常年使用的NAS設備,使用者往往不會特別去維護或修補,仍會因尚存有漏洞而被成功攻擊。

2.2 國內NAS資安威脅案例
在國內,大多數的NAS廠商都會針對其資訊安全提供基本之防護,甚至以此作為該廠商NAS設備之特色進行宣傳及販售,包括多因子驗證、防火牆、防毒軟體等相較於過往NAS更多的防護措施。雖然這些廠商都提供了基本防護機制,但資安威脅仍時有所聞:

(1) 國內廠商NAS遭到勒索病毒威脅:
在2019年7月期間,某國內廠商NAS產品受到國外勒索病毒之威脅。攻擊者透過暴力破解NAS設備的預設密碼及弱密碼,取得管理員權限,並以此散播勒索病毒要求受害者支付贖金。廠商收到通知後,透過IP位址,查找到攻擊者的中繼站伺服器位址,並透過TWCERT/CC通報給該國資安單位,最終透過組織間的聯繫和協助,得以在事件尚未大量發生前,解除了資安威脅。

(2) 針對國內廠商NAS設備之惡意程式攻擊:
在2019年11月期間,出現針對國內特定廠商之惡意程式,該程式在入侵NAS裝置後,除了會將設備中的資訊及帳號密碼回傳給攻擊者外,同時也會關閉該廠商提供的防護系統,以便順利進行惡意行為。該廠商很快便提供更新的防護系統,可以偵測NAS裝置本身是否已感染惡意程式,並且將其移除。此外,該廠商亦提出對使用者的相關防護措施建議,提升裝置的安全性及入侵難度,以達到更佳的防護效果[6]。

(3) 國內NAS設備被當成殭屍網路利用:
在2020年3月間,某國內廠商NAS設備被發現設備中用以認證的元件,存有遠端連線之漏洞,攻擊者可透過該漏洞入侵後植入後門程式。而確實有攻擊者透過該漏洞,散播殭屍網路惡意程式,藉此控制受害裝置。該廠商在接獲通報後,立即提出新韌體的更新公告,並針對已經不支援的NAS版本,建議將其設備安裝於防火牆防護範圍內,避免直接暴露於網路中[7]。

隨著NAS的盛行,以及儲存的機敏資訊越來越多,因此攻擊者開始將NAS設備視為極佳的攻擊目標,一旦成功進行駭侵攻擊,所能取得的利益相當大。因此諸多在其他設備中出現的資安威脅,在NAS設備上也陸續被發現。

如何在使用方便與安全性兩者之間達到最佳的平衡點,將是所有NAS設備廠商努力的目標。

TOP

三、NAS資安防護

對於NAS設備,雖然目前尚未有完整的資安防護機制及體系,各廠商所著重及防禦的重點也不盡相同,但大致上的目標及所欲解決的問題都是一樣的,歸納國內廠商針對NAS資安威脅所進行的防護做法如下:

(1) 開發時的事前檢測與防護:
對NAS廠商而言,雖然開發者在撰寫程式時已極力避免漏洞或缺陷的產生,但難免有疏漏及盲點存在。因此,許多國內NAS廠商會將其撰寫的程式透過其他人員或組織協助檢閱,透過多人的討論及檢查,以減少程式碼中產生的資安漏洞。此外,許多NAS廠商亦會透過檢測軟體,進行弱點掃描等測試,並且至少須經數次修正,確認程式碼無誤,方公布給使用者使用。

(2) 開源軟體的嚴格監控:
隨著NAS設備的功能性需求越來越多,開發者不再是自行撰寫所有程式,許多功能會選擇套用已開發的開源軟體,透過修正、結合,達到增加功能之效果。但這些開源軟體種類繁多,品質也良莠不齊,因此國內諸多廠商都會針對其使用的開源軟體進行嚴格的監控,確認其完整性及安全無虞才導入應用。使用者也應遵循廠商提供的安全規範,不要因為一時便利而關閉或調整相關的防護設定,以免成為資安威脅的破口。

(3) 對聯網裝置的支援與控管:
國內NAS廠商會針對其支援的聯網裝置,包括路由器、影印機、攝影機等,一旦判斷聯網裝置已經老舊,甚至出現嚴重資安問題,都可能會隨時停止NAS設備支援該裝置或其功能,避免攻擊者輕易透過這些老舊裝置,對NAS設備進行攻擊或入侵。

(4) 對使用預設密碼或弱密碼的禁止:
國內NAS廠商,幾乎都會針對密碼強度及預設密碼進行嚴格的控管,有些廠商直接停止預設密碼,要求使用者安裝前必須先設定密碼,而有些廠商雖然會提供預設密碼,但會要求必須先更改其預設密碼方能繼續使用。此外,廠商對於使用者所設定之密碼也有強度上之要求,以避免攻擊者可輕易透過暴力破解方式,成功入侵NAS設備。

(5) 提供對惡意程式的防護機制:
雖然各廠商對惡意程式的防護機制不盡相同,但同樣都是希望能避免使用者因惡意程式而蒙受損失。有些國內的NAS廠商,會透過嚴格的設定規範,避免使用者誤觸及感染惡意程式,甚至會定時監控系統的設定,一旦設定被調整,可能產生資安威脅,系統會立即通知管理者並要求修正。另有廠商則著重於使用者誤觸惡意程式後,如何進行即時的修補,包括對自身系統和檔案的檢測、行為監控以及移除惡意程式等,以避免使用者遭受嚴重的損失。

(6) 善用資安通報並即時回饋:
國內許多廠商會設立資安團隊,如:產品資安事件應變小組(Product Security Incident Response Team, PSIRT),當收到任何資安通報之後,能夠立即且精準的針對其產品資安問題進行分析及修補。不論是弱密碼受到暴力破解、開源軟體出現缺陷,或零時漏洞等問題,都能透過廠商及時的回饋與修正,達到最佳的處置與防護。因此,使用者在NAS設備遭遇攻擊時,應立即通報NAS廠商或國內TWCERT/CC,透過專業人士的協助,方能獲得徹底的解決。

隨著廠商的逐漸重視,NAS設備的安全性也不斷提升,從設備本身的安全設定、開源軟體與應用程式的選用,對使用者的要求,到漏洞或事件發生後的應變處理,都有相當的規範。此外,也須提升互聯設備及整體網路環境的安全,使用者更須提高資安意識,方得以放心的使用NAS設備。

TOP

四、結論與建議

(1) 隨著網際網路的發展,NAS設備逐漸成為儲存設備的主流,但許多NAS使用者在觀念上,仍停留在過往單一儲存設備的使用習慣中,忽略了聯網環境下的資安風險,導致NAS容易受到惡意攻擊。

(2) 國內NAS廠商都針對其NAS設備之資安威脅,包括弱密碼、開源軟體,以及零時漏洞等問題,提出相對應的防護機制及解決辦法,希望能提供使用者完整安全的使用環境。

(3) 由於企業用NAS設備會連結許多其他網路裝置,包括路由器、影印機、網路攝影機等,然而此等裝置資安風險較高,需要採行較多的防護措施,對於使用環境相對單純的個人用戶稍顯沉重。因此,建議廠商可進行市場區隔,區分一般使用者及企業用戶之NAS設備。對於一般使用者不需提供過多的功能,亦不須支援太多裝置,以減輕資安風險與防護壓力。

(4) 為增強NAS設備之功能,廠商會開發或導入許多應用程式,然而有些應用程式常非NAS廠商可完全控管,一旦出現資安威脅,將難以排解。因此,建議NAS廠商宜儘量以自行開發的系統為主,避免將不可控的開源軟體或第三方應用程式直接內嵌於NAS設備中,以降低資安風險。

(5) 雖然許多NAS設備本身已有諸多資安防護機制,包含透過更新以修補新發現的資安漏洞,然而許多使用者卻無定時更新的習慣,或受駭仍不自知,甚至可能已失去聯絡而收不到廠商的系統更新通知。因此建議NAS廠商除了提供自動更新功能之外,可與其他具足夠公信力的組織合作,協助發布或通知使用者定期更新,對於國際間的使用者,也可透過組織間的聯繫,達到通告並做好妥善的資安防護。

TOP

回頁首