WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
QNAP xóa tài khoản backdoor trong NAS backup
QNAP vừa xử lý lỗ hổng nghiêm trọng cho phép kẻ tấn công truy cập vào các thiết bị NAS QNAP (lưu trữ dữ liệu được kết nối mạng) sử dụng thông tin đăng nhập đã được hardcode.
Lỗ hổng CVE-2021-28799 do một công ty tại Đài Loan phát hiện nằm trong giải pháp HBS 3 Hybrid Backup Sync (sao lưu, đồng bộ, khôi phục dữ liệu) từ NAS.
Lỗ hổng an ninh đã được xử lý theo các phiên bản HBS và người dùng được khuyến cáo cập nhật lên phiên bản mới nhất.
QNAP thông báo phát hành bản vá cho lỗ hổng CVE-2021-28799 vào ngày 22/04/2021 nhưng ghi chú trên phiên bản 16.0.0415 mới được cập nhật lại vào ngày 16/04/2021.
Phát ngôn viên của QNAP cho biết việc trì hoãn tiết lộ thông tin là do cần thêm thời gian để phát hành bản vá cho các phiên bản QuTS hero và QuTScloud HBS.
QNAP cũng cho biết thêm hiện chưa tìm thấy bằng chứng cho thấy lỗ hổng đang bị khai thác trên thực tế.
Bên cạnh đó, QNAP cũng xử lý hai lỗ hổng tiêm nhiễm lệnh khác trong HBS cũng như 2 lỗ hổng nghiêm trọng: tiêm nhiễm lệnh trong QTS và QuTS hero (CVE-2020-2509) và tiêm nhiễm SQL trong Multimedia Console và Media Streaming Add-on (CVE-2020-36195) có thể cho phép kẻ tấn công chiếm quyền truy cập đến thiết bị NAS.
Ngoài ra, người dùng QNAP cũng đang là mục tiêu của chiến dịch ransomware Qlocker.
Các lỗ hổng nghiêm trọng sẽ cho phép kẻ xấu chiếm quyền kiểm soát các thiết bị NAS và trong một số trường hợp triển khai ransomware để mã hóa file của người dùng và yêu cầu tiền chuộc để giải mã.
Kẻ xấu cũng chiếm quyền thiết bị NAS và sử dụng chúng để “ủy quyền kết nối nhằm tương tác với các websell chúng đặt trên các thiết bị này” và che giấu các hành vi độc hại trong lưu lượng làm việc từ xa thông thường.
Khách hàng QNAP được khuyến cáo nên tuân theo các quy trình sau để đảm bảo các thiết bị NAS an toàn và kiểm tra mã độc:
Lỗ hổng CVE-2021-28799 do một công ty tại Đài Loan phát hiện nằm trong giải pháp HBS 3 Hybrid Backup Sync (sao lưu, đồng bộ, khôi phục dữ liệu) từ NAS.
Lỗ hổng an ninh đã được xử lý theo các phiên bản HBS và người dùng được khuyến cáo cập nhật lên phiên bản mới nhất.
- QTS 4.5.2: từ phiên bản HBS 3 Hybrid Backup Sync 16.0.0415 trở lên
- QTS 4.3.6: từ phiên bản HBS 3 Hybrid Backup Sync 3.0.210412 trở lên
- QuTS hero h4.5.1: từ phiên bản HBS 3 Hybrid Backup Sync 16.0.0419 trở lên
- QuTScloud c4.5.1~c4.5.4: từ phiên bản HBS 3 Hybrid Backup Sync 16.0.0419 trở lên
QNAP thông báo phát hành bản vá cho lỗ hổng CVE-2021-28799 vào ngày 22/04/2021 nhưng ghi chú trên phiên bản 16.0.0415 mới được cập nhật lại vào ngày 16/04/2021.
Phát ngôn viên của QNAP cho biết việc trì hoãn tiết lộ thông tin là do cần thêm thời gian để phát hành bản vá cho các phiên bản QuTS hero và QuTScloud HBS.
QNAP cũng cho biết thêm hiện chưa tìm thấy bằng chứng cho thấy lỗ hổng đang bị khai thác trên thực tế.
Bên cạnh đó, QNAP cũng xử lý hai lỗ hổng tiêm nhiễm lệnh khác trong HBS cũng như 2 lỗ hổng nghiêm trọng: tiêm nhiễm lệnh trong QTS và QuTS hero (CVE-2020-2509) và tiêm nhiễm SQL trong Multimedia Console và Media Streaming Add-on (CVE-2020-36195) có thể cho phép kẻ tấn công chiếm quyền truy cập đến thiết bị NAS.
Ngoài ra, người dùng QNAP cũng đang là mục tiêu của chiến dịch ransomware Qlocker.
Các lỗ hổng nghiêm trọng sẽ cho phép kẻ xấu chiếm quyền kiểm soát các thiết bị NAS và trong một số trường hợp triển khai ransomware để mã hóa file của người dùng và yêu cầu tiền chuộc để giải mã.
Kẻ xấu cũng chiếm quyền thiết bị NAS và sử dụng chúng để “ủy quyền kết nối nhằm tương tác với các websell chúng đặt trên các thiết bị này” và che giấu các hành vi độc hại trong lưu lượng làm việc từ xa thông thường.
Khách hàng QNAP được khuyến cáo nên tuân theo các quy trình sau để đảm bảo các thiết bị NAS an toàn và kiểm tra mã độc:
- Thay đổi tất cả mật khẩu cho tất cả tài khoản trên thiết bị
- Xóa các tài khoản người dùng không xác định trên thiết bị
- Đảm bảo các bản firmware được cập nhật đều đặn và tất cả các ứng dụng được cập nhật bản vá.
- Loại bỏ các ứng dụng không sử dụng trên thiết bị
- Cài đặt ứng dụng QNAP MalwareRemover thông qua chức năng App Center
- Tạo một danh sách kiểm soát truy cập cho thiết bị (Control panel -> Security -> Security level)
Theo Bleeping Computer