• 發布單位:TWCERT/CC
• 更新日期:2021-10-07
• 點閱次數:1566

1.簡介
2.NAS資安威脅
3.NAS資安防護
4.結論與建議

• 網路儲存設備(Network Attached Storage, NAS)，是一種附加於網路上的儲存設備，透過網際網路，NAS可以提供使用者隨時隨地存取資料，因此逐漸受到個人或企業的青睞。
• 因NAS設備往往會被用來儲存企業或個人的大量資訊，且許多使用者並不會特別針對NAS設備進行維護作業，更忽略了聯網設備的資安風險，導致駭客逐漸將攻擊目標轉向NAS設備。
• 全球知名的國內NAS廠商，都相當重視NAS設備的安全性，在逐漸增加的網路攻擊中，廠商會在使用的方便性與安全性之間，取得最佳的平衡。
• 針對NAS設備的資安威脅問題，國內NAS設備生產廠商已紛紛提出相對應的防護機制及解決辦法，使用者也應提高資安意識，配合資安防護要求，才能營造安全的使用環境。

一、簡介

網路儲存設備(Network Attached Storage, NAS)是一種連接網路提供資料儲存之智慧儲存裝置[1]。NAS設備，如同其他聯網設備，會透過網際網路對外提供服務。雖然所有聯網設備均面臨不小的資安風險，但由於作為儲存裝置的NAS，使用者較少特別去維護、更新，因此逐漸成為駭客的攻擊目標，除了廠商要能緊急應變外，使用者也應針對其NAS設備，進行足夠的安全防護。NAS設備成為攻擊目標的主要原因，概述如下：

(1) NAS設備使用量增多引起攻擊者注意：NAS的使用數量增加的速度相較其他物聯網裝置快，導致一旦攻擊者發現某一NAS設備中的漏洞，即可將攻擊手法應用在相同類型的其他NAS設備上，其威脅將會比一般的物聯網裝置更大。
(2) NAS設備儲存的機敏資料誘發攻擊者覬覦：作為儲存裝置的NAS設備，往往會儲存大量的資訊，尤其是企業的機敏資訊，這對攻擊者具有相當的誘因。
(3) NAS設備防護機制良莠不齊：雖然大多數廠商注重且提供足夠的安全機制與設定，但仍有少部分廠商防護能力不足，導致NAS設備的安全性強弱不一，給攻擊者有可乘之機。
(4) NAS設備所在環境的其他聯網裝置易成破口：除了NAS設備本身的安全設定之外，與其相互聯結使用的其他聯網裝置，若沒有足夠的資安防護能力也容易成為入侵管道，再加上許多使用者並不會特別採行必要的資安防護措施，一旦使用到自身防護機制不足的NAS設備，即容易被成功攻擊[2]。

基於上述各種原因，以及使用者的輕忽，導致越來越多針對NAS系統之惡意程式問世，例如在2019年出現的勒索病毒Cr1ptTor，要求受害者支付定額贖金[3]；以及2020年出現之QSnatch惡意程式，控制受感染的裝置後進行惡意行為[4]。此等針對NAS設備的資安威脅已層出不窮。

TOP

二、NAS資安威脅

為避免資料受損或遺失，在過往，使用者通常會將資料儲存及備份於實體隔離的硬碟或USB中，但這些直接儲存裝置需隨時攜帶才能方便使用，反而容易遺失或遭竊。因此，僅需透過網際網路便可備份或存取資料的NAS設備，便逐漸受到使用者的歡迎。

然而，這種類似於自建私有雲的NAS裝置，雖然其便利性增加許多，但由於該裝置會與網際網路相連結，因此在方便之餘，增加了許多資安風險。

2.1 NAS常見資安威脅
對於NAS而言，雖然廠商會針對其安全性進行一定程度的設計及防護，但其倚賴網際網路的通訊以及雲端共享模式，任何與其連接、相容的網路、裝置及軟體之缺陷，都可能對NAS裝置造成資安威脅，甚至使用者的習慣和使用方式，都是影響NAS安全性的重大因素。NAS常見的資安威脅包括：

(1) 暴力破解NAS裝置的弱密碼：通常NAS裝置會提供使用者一組公開的預設密碼，登入後再行更改其密碼。然而，許多使用者會沿用其預設密碼，或是為求方便而使用簡單、低強度的密碼設定，導致攻擊者容易透過暴力破解等攻擊手法，成功取得權限後入侵NAS設備。
(2) 攻擊者透過開源軟體或其他裝置漏洞入侵NAS設備：NAS設備往往會相容於許多不同類型的聯網裝置，這些裝置本身安全防護不一定足夠，導致一旦該裝置遭到攻擊者入侵，甚至感染惡意程式後，與之連接的NAS設備同樣會遭到惡意程式的攻擊。此外，隨著NAS設備功能需求越來越多，許多功能會借用開源軟體，以減少開發成本。然而，這些開源軟體的安全性良莠不齊，且非廠商本身可完全控制或修正，相較於注重資安的NAS設備本身，開源軟體更容易出現資安漏洞。
(3) 針對NAS零時漏洞進行攻擊：對於任何系統而言，即便對設備及系統的安全性相當注重，但在諸多的程式碼及其功能中，難免有開發時難以察覺的漏洞存在。而攻擊者透過長時間的觀察或偶然發現其資安漏洞，並且利用這個尚未修補的漏洞進行攻擊，導致NAS設備廠商及使用者在第一時間難以防禦而受到攻擊。

雖然國內廠商在NAS的發展過程中，對資安漏洞已逐一修補及排除，除了新興的攻擊之外，其基本的防護已經相當完備。然而，即便設備的安全性完備，使用者仍是其安全的不確定性之一，使用者是否按照設備安全規範安裝、執行，或是因為資安意識不足而產生防護上的破口，都是NAS設備仍然不時出現資安問題的一大原因。

使用者的疏忽主要是源自於未能及時更新NAS設備的軟體系統，許多NAS設備使用生命週期長，然而，這些常年使用的NAS設備，使用者往往不會特別去維護或修補，仍會因尚存有漏洞而被成功攻擊。

2.2 國內NAS資安威脅案例
在國內，大多數的NAS廠商都會針對其資訊安全提供基本之防護，甚至以此作為該廠商NAS設備之特色進行宣傳及販售，包括多因子驗證、防火牆、防毒軟體等相較於過往NAS更多的防護措施。雖然這些廠商都提供了基本防護機制，但資安威脅仍時有所聞：

(1) 國內廠商NAS遭到勒索病毒威脅：
在2019年7月期間，某國內廠商NAS產品受到國外勒索病毒之威脅。攻擊者透過暴力破解NAS設備的預設密碼及弱密碼，取得管理員權限，並以此散播勒索病毒要求受害者支付贖金。廠商收到通知後，透過IP位址，查找到攻擊者的中繼站伺服器位址，並透過TWCERT/CC通報給該國資安單位，最終透過組織間的聯繫和協助，得以在事件尚未大量發生前，解除了資安威脅。

(2) 針對國內廠商NAS設備之惡意程式攻擊：
在2019年11月期間，出現針對國內特定廠商之惡意程式，該程式在入侵NAS裝置後，除了會將設備中的資訊及帳號密碼回傳給攻擊者外，同時也會關閉該廠商提供的防護系統，以便順利進行惡意行為。該廠商很快便提供更新的防護系統，可以偵測NAS裝置本身是否已感染惡意程式，並且將其移除。此外，該廠商亦提出對使用者的相關防護措施建議，提升裝置的安全性及入侵難度，以達到更佳的防護效果[6]。

(3) 國內NAS設備被當成殭屍網路利用：
在2020年3月間，某國內廠商NAS設備被發現設備中用以認證的元件，存有遠端連線之漏洞，攻擊者可透過該漏洞入侵後植入後門程式。而確實有攻擊者透過該漏洞，散播殭屍網路惡意程式，藉此控制受害裝置。該廠商在接獲通報後，立即提出新韌體的更新公告，並針對已經不支援的NAS版本，建議將其設備安裝於防火牆防護範圍內，避免直接暴露於網路中[7]。

隨著NAS的盛行，以及儲存的機敏資訊越來越多，因此攻擊者開始將NAS設備視為極佳的攻擊目標，一旦成功進行駭侵攻擊，所能取得的利益相當大。因此諸多在其他設備中出現的資安威脅，在NAS設備上也陸續被發現。

如何在使用方便與安全性兩者之間達到最佳的平衡點，將是所有NAS設備廠商努力的目標。

TOP

三、NAS資安防護

對於NAS設備，雖然目前尚未有完整的資安防護機制及體系，各廠商所著重及防禦的重點也不盡相同，但大致上的目標及所欲解決的問題都是一樣的，歸納國內廠商針對NAS資安威脅所進行的防護做法如下：

(1) 開發時的事前檢測與防護：
對NAS廠商而言，雖然開發者在撰寫程式時已極力避免漏洞或缺陷的產生，但難免有疏漏及盲點存在。因此，許多國內NAS廠商會將其撰寫的程式透過其他人員或組織協助檢閱，透過多人的討論及檢查，以減少程式碼中產生的資安漏洞。此外，許多NAS廠商亦會透過檢測軟體，進行弱點掃描等測試，並且至少須經數次修正，確認程式碼無誤，方公布給使用者使用。

(2) 開源軟體的嚴格監控：
隨著NAS設備的功能性需求越來越多，開發者不再是自行撰寫所有程式，許多功能會選擇套用已開發的開源軟體，透過修正、結合，達到增加功能之效果。但這些開源軟體種類繁多，品質也良莠不齊，因此國內諸多廠商都會針對其使用的開源軟體進行嚴格的監控，確認其完整性及安全無虞才導入應用。使用者也應遵循廠商提供的安全規範，不要因為一時便利而關閉或調整相關的防護設定，以免成為資安威脅的破口。

(3) 對聯網裝置的支援與控管：
國內NAS廠商會針對其支援的聯網裝置，包括路由器、影印機、攝影機等，一旦判斷聯網裝置已經老舊，甚至出現嚴重資安問題，都可能會隨時停止NAS設備支援該裝置或其功能，避免攻擊者輕易透過這些老舊裝置，對NAS設備進行攻擊或入侵。

(4) 對使用預設密碼或弱密碼的禁止：
國內NAS廠商，幾乎都會針對密碼強度及預設密碼進行嚴格的控管，有些廠商直接停止預設密碼，要求使用者安裝前必須先設定密碼，而有些廠商雖然會提供預設密碼，但會要求必須先更改其預設密碼方能繼續使用。此外，廠商對於使用者所設定之密碼也有強度上之要求，以避免攻擊者可輕易透過暴力破解方式，成功入侵NAS設備。

(5) 提供對惡意程式的防護機制：
雖然各廠商對惡意程式的防護機制不盡相同，但同樣都是希望能避免使用者因惡意程式而蒙受損失。有些國內的NAS廠商，會透過嚴格的設定規範，避免使用者誤觸及感染惡意程式，甚至會定時監控系統的設定，一旦設定被調整，可能產生資安威脅，系統會立即通知管理者並要求修正。另有廠商則著重於使用者誤觸惡意程式後，如何進行即時的修補，包括對自身系統和檔案的檢測、行為監控以及移除惡意程式等，以避免使用者遭受嚴重的損失。

(6) 善用資安通報並即時回饋：
國內許多廠商會設立資安團隊，如：產品資安事件應變小組(Product Security Incident Response Team, PSIRT)，當收到任何資安通報之後，能夠立即且精準的針對其產品資安問題進行分析及修補。不論是弱密碼受到暴力破解、開源軟體出現缺陷，或零時漏洞等問題，都能透過廠商及時的回饋與修正，達到最佳的處置與防護。因此，使用者在NAS設備遭遇攻擊時，應立即通報NAS廠商或國內TWCERT/CC，透過專業人士的協助，方能獲得徹底的解決。

隨著廠商的逐漸重視，NAS設備的安全性也不斷提升，從設備本身的安全設定、開源軟體與應用程式的選用，對使用者的要求，到漏洞或事件發生後的應變處理，都有相當的規範。此外，也須提升互聯設備及整體網路環境的安全，使用者更須提高資安意識，方得以放心的使用NAS設備。

TOP

四、結論與建議

(1) 隨著網際網路的發展，NAS設備逐漸成為儲存設備的主流，但許多NAS使用者在觀念上，仍停留在過往單一儲存設備的使用習慣中，忽略了聯網環境下的資安風險，導致NAS容易受到惡意攻擊。

(2) 國內NAS廠商都針對其NAS設備之資安威脅，包括弱密碼、開源軟體，以及零時漏洞等問題，提出相對應的防護機制及解決辦法，希望能提供使用者完整安全的使用環境。

(3) 由於企業用NAS設備會連結許多其他網路裝置，包括路由器、影印機、網路攝影機等，然而此等裝置資安風險較高，需要採行較多的防護措施，對於使用環境相對單純的個人用戶稍顯沉重。因此，建議廠商可進行市場區隔，區分一般使用者及企業用戶之NAS設備。對於一般使用者不需提供過多的功能，亦不須支援太多裝置，以減輕資安風險與防護壓力。

(4) 為增強NAS設備之功能，廠商會開發或導入許多應用程式，然而有些應用程式常非NAS廠商可完全控管，一旦出現資安威脅，將難以排解。因此，建議NAS廠商宜儘量以自行開發的系統為主，避免將不可控的開源軟體或第三方應用程式直接內嵌於NAS設備中，以降低資安風險。

(5) 雖然許多NAS設備本身已有諸多資安防護機制，包含透過更新以修補新發現的資安漏洞，然而許多使用者卻無定時更新的習慣，或受駭仍不自知，甚至可能已失去聯絡而收不到廠商的系統更新通知。因此建議NAS廠商除了提供自動更新功能之外，可與其他具足夠公信力的組織合作，協助發布或通知使用者定期更新，對於國際間的使用者，也可透過組織間的聯繫，達到通告並做好妥善的資安防護。

TOP