Qnap-enheter utsatta för ransomware-attack 

Permalänk
Cylon

Qnap-enheter utsatta för ransomware-attack 

Användares filer har låsts i lösenordsskyddade arkiv och utpressas på 0,01 BTC för att återfå åtkomst.

Läs hela artikeln här

Permalänk
Medlem

Jag skulle aldrig någonsin köpa en nas som jag låter vara ute direkt emot internet. Jag skulle bara ha access till den lokalt, vill man komma åt datan så måste man först logga in på vpn servern. Genom detta tänkande så får jag 1st vpn server att uppdatera och se till att den är säker, inte 5 miljoner andra hårdvaror och se till att de är uppdaterade och inga säkerhetshål finns.
Sedan om någon tar sig in på vpnserver, ja då är man körd.

Sedan i lite större säkerhetstänk så en låta viss information i Nasen ligga i en DMZ och tänka på hur man sätter upp datan. Men jag har inte den mest känsliga informationen hemma lokalt så..

Permalänk
Medlem

Förvånar mig inte - finns så många som lägger ut sina prylar direkt emot internet. Undra hur många av dessa enheter man kan se på shodan.

Permalänk
Medlem

Är det via inloggningen till interfacet de har kommit in? Om man kör andra portar/tjänster, är man safe då?

Permalänk
Medlem

Kör inte Qnap.
Men det känns ändå skönt att precis ha avslutat en full backup.
En process som tog en vecka ungefär p.g.a. diverse strul -.-

Permalänk
Medlem
Skrivet av GarfieldPower:

Är det via inloggningen till interfacet de har kommit in? Om man kör andra portar/tjänster, är man safe då?

Gissar på brute-force av klena lösenord på admin konto.
Det är iaf. vad mina Synology har varnat för och rekar att stänga av just admin kontot.

Permalänk
Medlem
Skrivet av Svensktiger:

Gissar på brute-force av klena lösenord på admin konto.
Det är iaf. vad mina Synology har varnat för och rekar att stänga av just admin kontot.

Hmm, fast om du inte tillåter den porten, då är man ju safe, t.ex kör jag inte remote login utan endast via LAN.
Då borde jag inte bry mig?

Permalänk
Medlem
Skrivet av GarfieldPower:

Hmm, fast om du inte tillåter den porten, då är man ju safe, t.ex kör jag inte remote login utan endast via LAN.
Då borde jag inte bry mig?

Qnap säger ju inte rakt ut hur det går till.
Men dom nämner ju:
"The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync"
Så om någon av de tjänsterna kan kommas åt "utifrån" så gissar jag på att man är i riskzonen.

Permalänk
Medlem
Skrivet av GarfieldPower:

Hmm, fast om du inte tillåter den porten, då är man ju safe, t.ex kör jag inte remote login utan endast via LAN.
Då borde jag inte bry mig?

så länge du inte exponerar någon tjänst mot internet är du safe iaf från utsidan

Permalänk
Medlem

Jag är lätt paranoid och byter även användarnamnet till något som ser ut som ett starkt lösenord, GL bruteforcing admin
Vore intressant med lite mer info om hur de faktiskt tagit sig in (om det är genom qnaps tjänster så är det ju galet dåligt men då hade de antagligen gått på betydligt fler). Känns som det är NAS som varit exponerade mot nätet.

Permalänk
Medlem
Skrivet av Svensktiger:

Qnap säger ju inte rakt ut hur det går till.
Men dom nämner ju:
"The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync"
Så om någon av de tjänsterna kan kommas åt "utifrån" så gissar jag på att man är i riskzonen.

Hmm, ska kolla igenom allt efter jobbet i vilket fall som helst. Tack!

Permalänk
Medlem

Det verkar ha varit hårdkodade credentials i "Hybrid Backup Sync" och SQL injections i ett webinterace. Stänger man av all externt åtkomna tjänster och bara tillåter OpenVPN och sen ansluter "lokalt" är det rätt lugnt med QNAP.

Permalänk
Medlem
Skrivet av Svensktiger:

Qnap säger ju inte rakt ut hur det går till.
Men dom nämner ju:
"The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync"
Så om någon av de tjänsterna kan kommas åt "utifrån" så gissar jag på att man är i riskzonen.

Ja och "The Multimedia Console" går ej att stänga av/avinstallera lite synd, jag har dock klarat mig än så länge

Permalänk
Medlem
Skrivet av hasenfrasen:

Det verkar ha varit hårdkodade credentials i "Hybrid Backup Sync" och SQL injections i ett webinterace. Stänger man av all externt åtkomna tjänster och bara tillåter OpenVPN och sen ansluter "lokalt" är det rätt lugnt med QNAP.

Tur då att dom hittade och åtgärdade bakdörren i sin VPN-klient innan 😜

Permalänk
Medlem
Skrivet av Dr.Mabuse:

Tur då att dom hittade och åtgärdade bakdörren i sin VPN-klient innan 😜

...så du tror att det är slut på 0-day att nyttja i QNAP? Well, förhoppningsvis iaf för den här lönefredagen!

Permalänk
Medlem

Därav man har en offline-kopia?

Permalänk
Medlem

Gissar att Asustor är nästa i kön, deras Antivirus är katastrof.
Min nas har dock ingen kontakt med internet längre så den bör sitta säkert.

Permalänk
Medlem

Ett exempel på att RAID inte är backup.

Inte just för att en NAS är samma sak som att köra RAID. Men att tänkesättet att "mina data är säkra på dessa speglade diskar av märket jsg aktar högre än alla andra", eller tills något man inte tänkt händer.

Dina data på en NAS kan ju bli krypterade via en betrodd klient också även om NASen inte har ett specifikt säkerhetshål.

Att koppla upp precis allt på nätet har sina sidor också..

Permalänk
Skrivet av GarfieldPower:

Är det via inloggningen till interfacet de har kommit in? Om man kör andra portar/tjänster, är man safe då?

Skrivet av Svensktiger:

Gissar på brute-force av klena lösenord på admin konto.
Det är iaf. vad mina Synology har varnat för och rekar att stänga av just admin kontot.

Skrivet av Svensktiger:

Qnap säger ju inte rakt ut hur det går till.
Men dom nämner ju:
"The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync"
Så om någon av de tjänsterna kan kommas åt "utifrån" så gissar jag på att man är i riskzonen.

Skrivet av Trihxeem:

Jag är lätt paranoid och byter även användarnamnet till något som ser ut som ett starkt lösenord, GL bruteforcing admin
Vore intressant med lite mer info om hur de faktiskt tagit sig in (om det är genom qnaps tjänster så är det ju galet dåligt men då hade de antagligen gått på betydligt fler). Känns som det är NAS som varit exponerade mot nätet.

Ett av exploiten är att de utnyttjar webservern som hanterar webgränsnittet som körs på port 8080 som standard det enda som behövs är alltså att 8080 är nåbart från internet.

"Technical Details
Vulnerability #1 – RCE vulnerability: affects any QNAP device exposed to the Internet.
This vulnerability resides in the NAS web server (default TCP port 8080).
Previous RCE attacks on QNAP NAS models relied on web pages which do not require prior authentication, and run/trigger code in server-side. We’ve therefore inspected some cgi files (which implement such pages) and fuzzed a few of the more relevant ones.

Most of the cgi files that are available through the web server reside at /mnt/HDA_ROOT/home/httpd/cgi-bin directory on the TS-231 file system.

During the inspection, we fuzzed the web server with customized HTTP requests to different cgi pages, with focus on those that do not require prior authentication. We’ve been able to generate an interesting scenario, which triggers remote code execution indirectly (i.e., triggers some behavior in other processes)."

Gif:en nedan visar där de kodat ihop ett script i python (de visar inte koden) för att logga in på nas enhetern och kör kommandon, allt som behövs är alltså att webgränsnittet är igång.

Permalänk
Medlem

Måste vara jobbigt att få sin data kidnappad på det där viset, eller ska man kanske kalla det Qnappad? 🤐

Permalänk
Medlem
Skrivet av Daavido:

Förvånar mig inte - finns så många som lägger ut sina prylar direkt emot internet. Undra hur många av dessa enheter man kan se på shodan.

Skrivet av Palme_570:

så länge du inte exponerar någon tjänst mot internet är du safe iaf från utsidan

Skrivet av hasenfrasen:

Det verkar ha varit hårdkodade credentials i "Hybrid Backup Sync" och SQL injections i ett webinterace. Stänger man av all externt åtkomna tjänster och bara tillåter OpenVPN och sen ansluter "lokalt" är det rätt lugnt med QNAP.

Hur säker man är om man inte exponerar en QNAP NAS direkt ut mot nätet beror ju på hur säkra och uppdaterade resten av ens hård och mjukvara är...

Det senaste är ju NAT Slipstreaming 2.0 som kan ge en hackare tillgång till alla enheter i det interna nätet, tex då för ransomware-attacker...

Permalänk
Medlem

Man skall aldrig lita på att en NAS klarar sig oskadd vid utifrån olika angrepp, är det publikt åtkommlig så knackar det på hela tiden - somliga med släggor. - därför ofta uppdaterad backup som läggs offline (ej strömsatt) och helst på filsystem där det går att göra RO-snapshot inför varje backupsession.

Och det där med hårdkodade passord verkar vara vanligt förekommande i köpeNAS där utvecklarna inte har rensat eller supportavdelningen vill ha en väg kvar in när man har användare som gjort fullständigt bort sig.

det är ok med en väg support in men då skall det vara jobbig användarnamn och lång passord i hashad form. eller förbereder en ssh-session med alla nycklar på plats redan för just support. (och är man mer kunnig kan man också rensa dem i efterhand)

All inloggning bör går standard unix/linux-väg och alla passord/passfraser i /etc/shadow i hashad form oavsett vad olika appar man använder - password-listan och shadow kan man nämligen rensa om man tycker det finns poster där det lukta lite murket, men är det inbyggt i själva klienterna/appar som har fått admin-rättigheter och har det hårdkodat i sig så är det mindre bra och hanterat helt fel av utvecklarna.

Permalänk
Medlem
Skrivet av Karaff:

Dina data på en NAS kan ju bli krypterade via en betrodd klient också även om NASen inte har ett specifikt säkerhetshål.

Ett lite säkare sätt är att låta NAS'en logga in på klienterna för att ta backup och inte tvärt om så att klienterna inte vet NAS'en inloggningsuppgifter utan det är NAS'en som vet klienternas.

T.ex. Synology DSM's app "Active Backup For Business" som finns för de nyare modellerna är vad de lokala småfirmorna jag supportar på sidan om använder sig av. "Off-site" backup för dem är en annan Synology NAS (i annan brandcell) som tar backup av den första, även där vet NAS1 inte vad NAS2 har för inloggingsuppgifter. Versionshantering med tre månadera retention tar förvånansvärt lite extraplats om man har hyffsat statiska data lagrat.

Permalänk
Medlem
Skrivet av filbunke:

Hur säker man är om man inte exponerar en QNAP NAS direkt ut mot nätet beror ju på hur säkra och uppdaterade resten av ens hård och mjukvara är...

Det senaste är ju NAT Slipstreaming 2.0 som kan ge en hackare tillgång till alla enheter i det interna nätet, tex då för ransomware-attacker...

Därav "utsidan", om man bjuder in attack är felet på andra ställen. NAT slipstreaming och alla andra attacker idag bygger på att din eller de enheter kommer åt det som ska kommas åt och att du bjuder in till att börja med, Man kommer inte bara simply förbi en brandvägg utan öppna hål eller en etablerad länk.
NAT slipsteaming är ju inte heller något nytt vad gäller att tänka på säkerheten på "insidan" även om du kan nat:a dig tillbaka till vilken enhet du vill måste ju den exponera sig, de värsta hoten har ju inpincip alltid varit från insidan sedan XP tiden, sen att de "flesta" fortfarande lever på 95 tiden och främst focuserar på utsidan är en annan sak.

Permalänk
Medlem

Haft detta men de lyckades inte

2016 Qnap TS- 451+

Hade inloggnings försök från Kina flera gånger per vecka.

Som tur var den hade jag en Riktigt stark lösenord + Google Authenticator.

Smartaste jag gjorde var att Banna ip adresser vid fel inloggningsförsök
Och Ban of Ip after 2 failed tries to login Ban 5 minutes.
5 tries to login Ban 3 days.
7 tries One week ban
10 tries month Ban.

Så de kunde inte besöka min server sida när bannad.
Hade olika Ip adresser från Kina som försökt. ^^

Jag hade Qvideo, Qmusic, Qfile, Qnote, Qsync, Qget, Qremote, Ftp server, Webbgränssnittet och allt möjligt öppet, 8080 udp tcp Admin var det jag använde jämnt.

Hade flera olika användar konton för vänner, familj och bekanta som hade tillgång med egen inloggning för Qvideo och Qphoto, bilder och video "minnen"

Mer info
Permalänk

Qnap och Säkerheten + bonus fråga.

Om man enbart har enheten öppen mot internet för "Plex"
Vad finns det för risker då? Självklart kör jag ett starkt lösenord + authy authenticator för att kunna logga in på Naset.

Har såklart bytt standard porten för plex applikationen men med en port scanning så går det ju enkelt att ta reda på.

Fråga 2

Har letat efter bra svar gällande denna frågan men tycks inte riktigt få ett bra svar på det och därav ställer jag frågan här också.

Jag har enbart Plex öppet utåt så familjemedlemmar osv kan komma åt innehållet. Har endast öppnat den porten ut mot internet, så frågan är - Om någon skulle lyckas port scanna och komma åt vilken port som är öppen vad är det för innehåll dom kan ta del av då? Är det enbart foldern som innehåller plex media eller kan dom på så sätt komma åt och bryta sig vidare in i hela Qnap Naset? Eller kommer dom enbart åt mitt "plex" konto?

Självklart använder jag starkt autentisering på Plex med starkt lösenord + Authy authenticator även där.