按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

QNAP NAS 已知漏洞遭駭侵者用以惡意挖礦

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-03-11
  • 點閱次數:4946
QNAP NAS已知漏洞遭駭侵者用以惡意挖礦 TWCERT/CC

資安廠商近期發現有駭侵者利用 QNAP NAS 設備的兩個已知嚴重漏洞,大規模進行惡意挖礦攻擊。QNAP 各型 NAS 用戶應立即升級作業系統與受影響的應用程式,以避免遭到類似攻擊。

資安廠商 360 網絡安全研究院近期發表研究報告,指出該公司的未知威脅檢測系統,於 2021 年 3 月 2 日 發現駭侵者利用 QNAP 網路儲存系統(Network Storage System, NAS) 設備的兩個已知嚴重漏洞,大規模進行惡意挖礦攻擊。

360 網絡安全研究院將這次攻擊命名為 UnityMiner,攻擊的主要手法是利用 QNAP NAS 的兩個已知嚴重等級安全漏洞 CVE-2020-2506 和 CVE-2020-2507,植入 XMRig 挖礦惡意軟體,利用 NAS 系統資源挖掘門羅幣(Monero)。

據 QNAP 官方於去年(2020 年) 10 月發表的資安通報中,指出這兩個漏洞係存於 QTS 作業系統中的 Helpdesk 應用程式。CVE-2020-2506 為權限控制的錯誤,可讓攻擊者取得 QNAP NAS 裝置的控制權限,而 CVE-2020-2507 則是指令注入漏洞,可讓駭侵者遠端執行任意程式碼;這兩個漏洞都在當時推出的新版 Helpdesk 3.0.3 中修補完成。

360 網絡安全研究院在研究報告中指出,這波 UnityMiner 攻擊中,駭侵者利用了 QNAP NAS 的設備特性,將挖礦惡意軟體的執行緒,以及其真實的 CPU 與 RAM 使用資源的資訊隱藏起來,使得用戶無法從 QNAP 系統管理工具中看到該惡意軟體正在運作,因而難以發現系統的異常運作。

研究報告並未指明是哪個駭侵團體發動本次攻擊事件,但根據觀測報告,受影響的 QNAP NAS IP 共有高達 95 萬個,受害者數量最多的國家,依序為美國、中國、義大利、法國、德國、日本、英國、澳洲。

在該研究報告中也列出了所有受到影響的多款 QNAP NAS 型號,受影響機種多達 102 種;這批型號的韌體更新日期若在 2020 年 8 月之前,就都存有遭駭侵者此這兩個漏洞發動攻擊的風險。QNAP 各型 NAS 用戶應立即升級作業系統與受影響的應用程式,以避免遭到類似攻擊。

2020 年 10 月 7 日,QNAP 官方已發佈安全公告 QSA-20-08[1],並指出已在 Helpdesk 3.0.3 和更高版本中解決了這些問題。

回頁首