QNAP NAS 設備 2 漏洞遭鎖定!UnityMiner 惡意挖礦軟體連續發動 100 多版攻擊行動
威聯通科技(Systems)旗下的 NAS 設備深受市場歡迎,但日前卻出現針對該品牌 NAS 設備使用者的安全公告,其指出當前有一波惡意加密貨幣攻擊行動,正在刻意利用這些設備上兩個未修補的重大韌體漏洞。
儘管 QNAP 早在 2020 年 10 月就修復漏洞。但中國網安公司奇虎(Qihoo)360 網路安全研究實驗室(Netlab)研究人員報告指出,有駭客專門鎖定 QNAP 公司 NAS 設備所使用的未修補韌體,展開 100 多種版本的廣泛攻擊活動。
根據 QNAP 10 月安全公告指出,這些漏洞會影響早期版本的 QNAP 3.0.3 Helpdesk 支援平台韌體。編號 CVE-2020-2506 的漏洞屬於不當存取控制漏洞,進而讓攻擊者獲得 QNAP 設備的控制權。編號 CVE-2020-2507 第二支漏洞係屬命令注入漏洞,可讓遠端攻擊者執行任意命令。
UnityMiner 會隱藏挖礦進度和記憶體資源使用率以規避偵測
據最近網路看到的 QNAP 設備映射,尤以位在美國(554,481 名)和中國(550,465 名)共 110 萬名 QNAP NAS 用戶受到的影響最為嚴重,光兩地就佔了全球總感染數近 80% 的可觀比例。
奇虎 360 Netlab 研究人員將感染這些儲存設備的加密挖擴惡意軟體稱之為 UnityMiner。目前對於 UnityMiner 的歷史,以及背後始作俑者都不甚清楚,因為過去似乎都沒有關於惡意軟體的任何報告。
「我們將這支惡意挖掘程式命名為 UnityMiner,我們注意到攻擊者透過隱藏挖礦進度和真實的 CPU 記憶體資源使用率資訊等手法客製化程式,這也是為什麼當 QNAP 用戶透過 WEB 管理介面檢查系統使用率時,他們壓根看不到有什麼異常的系統行為。」奇虎 360 Netlab 最近分析報告寫道。
可行緩解之道:將 QNAP Hepler 支援平台韌體更新至最新版本
360 Netlab 的研究人員辨識出 100 多版 QNAP NAS 韌體弱點攻擊,這些弱點早在 QNAP 於 2020 年 8 月漏洞更新前就被惡意利用了。
「QNAP NAS 用戶應立即檢查並更新韌體。」研究人員說。除了更新韌體,他們也建議 QNAP 用戶應監視或阻止在有限攻擊分析報告詳列的惡意 IP 與 URL。研究人員解釋,目前沒有針對該漏洞公開任何可協助 QNAP 減緩問題並限制攻擊的概念式驗證或技術細節。
研究人員寫道,活動基本內容包括駭客設定並啟動挖礦程式的 UnityMiner 可執行安裝程式(名為 unity_install.sh 和 Quick.tar.gz),並劫持原先設備的 manaRequest.cgi 程式。Quick.tar.gz 內含挖礦程式、挖礦組態檔、挖礦啟動腳本和偽造的 manaRequest.cgi 檔。
研究人員解釋道,UnityMiner 接著會利用 QNAP Helper 支援平台的處理程序漏洞,將系統文件 /home/httpd/cgi-bin/management/manaRequest.cgi 重命名為 manaRequests.cgi(此文件負責查看並修改設備的系統資訊)。
有趣的是,這些攻擊背後的未知駭客會使用自己的代理池(proxy pool),以便將 Monero 加密貨幣錢包藏起來。刼持攻擊指標包括為代理池「aquamangts.tk:12933」、「a.aquamangts.tk:12933」和「b.aquamangts.tk:12933」配置的 NAS 設備。此外,據研究人員指出,這個挖礦程式使用具備「aquamangts」根目錄的變種 proxy 與 URL。目前緩解措施包括將 QNAP Hepler 支援平台韌體更新至最新版本。
NAS 設備淪為甜美多汁的攻擊目標
長久以來,NAS 設備一直是網路犯罪分子的火紅攻擊目標,QNAP 也無力扭轉這個趨勢。去年 12 月,這家儲存製造商發布了某個重大嚴重性漏洞的安全公告,該漏洞允許遠端攻擊者能利用兩個跨站腳本漏洞(CVE-2020-2495 和 CVE-2020-2496)任一漏洞接管設備。
另一個影響 QNAP 的安全事件發生在 2019 年,當時駭客透過名為 Qsnatch 的惡意軟體鎖定儲存設備。同年也報導另一起安全事件,亦即出現專門鎖定 Linux NAS 設備(包括 QNAP)的勒索軟體(名為 QNAPCrypt)。
(首圖來源:QNAP)