Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향QNAP는 NAS 백업, 재해 복구 앱에서 백도어 계정을 제거한다
작성일 2021-04-23 조회 58

QNAP, NAS 백업, 재해 복구 앱에서 백도어 계정 제거

 

 

QNAP는 공격자가 하드코딩된 자격 증명을 사용하여 QNAP NAS(Network-Attached Storage) 장치에 로그인할 수 있는 심각한 취약점을 해결했다.

 

CVE-2021-28799로 추적된 하드 코딩된 자격 증명 취약점은 회사의 재해 복구 및 데이터 백업 솔루션인 HBS 3 Hybrid Backup Sync에서 대만에 기반을 둔 ZUSO APT에서 발견되었다.

 

회사는 다음 HBS 버전에서 보안 버그가 이미 수정되었다고 말하며 고객에게 소프트웨어를 최신 릴리스 버전으로 업데이트하도록 조언한다.

 

  - QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 and later

  - QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 and later

  - QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 and later

  - QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 and later

 

NAS 기기에서 HBS를 업데이트하려면 QTS 또는 QTS hero에 관리자로 로그인해야 한다. 그런 다음 App Center에서 "HBS 3 Hybrid Backup Sync"를 검색한 다음 업데이트 및 확인을 클릭하여 애플리케이션을 업데이트합니다(HBS가 이미 최신 상태인 경우 업데이트 옵션을 사용할 수 없다).

 

QNAP는 PSIRT팀이 이 취약점을 실제로 악용한 증거를 찾지 못했다고 덧붙였다.

 

같은 날 QNAP은 HBS 명령 주입 취약점과 QTS와 QTS hero의 명령 주입 취약점(CVE-2020-2509), 그리고 NAS 장치에 대한 전체 액세스 권한을 얻을 수 있는 멀티미디어 콘솔 및 미디어 스트리밍 Add-On(CVE-2020-36195)의 SQL 주입 취약점을 수정했다.

 

 

QNAP 사용자를 대상으로 하는 지속적인 Qlocker 랜섬웨어 캠페인

 

이와 같은 중요한 보안 취약점을 통해 위협 행위자가 NAS 기기를 장악하고, 경우에 따라 랜섬웨어를 배포하여 사용자의 파일을 암호화하고 암호 해독기를 위해 엄청난 몸값을 요구할 수 있다.

 

CISA에 따르면, 위협 행위자들은 또한 NAS 기기를 장악하고 이를 사용하여 "이 기기에 배치된 웹 쉘과 상호 작용하기 위해 그들의 연결을 프록시"하고 정규 원격 작업 트래픽 내에서 악의적인 활동을 숨기는 것으로 알려져 있다.

 

QNAP는 Qlocker라고 알려진 새로운 랜섬웨어 변종이 취약한 장치의 데이터를 암호화하기 위해 SQL Injection 취약점(CVE-2020-36195)을 악용한다고 말했다.

 

이는 정확히 Qlocker로 알려진 새로운 랜섬웨어 변종을 배치한 대규모 캠페인의 배후 공격자가 패스워드로 보호된 7zip 아카이브에서 QNAP 고객의 파일을 옮기고 랜섬을 요청하기 시작한 지난 4월 19일부터 발생한 일이다.

 

지난 4일 동안 랜섬웨어 지원 포럼은 상당한 활동량을 보였고, ID-Ransomware는 피해자로부터 Qlocker 샘플 제출이 급증했다.

 

 

ID-R Qlocker 제출

[그림 1. ID-Ransomware에서 제공한 Qlocker 검색 건수]

 

 

 

이전 랜섬웨어의 표적이 된 QNAP 기기

 

Qlocker는 QNAP 장치를 대상으로 하는 최초의 랜섬웨어가 아니다. 일반적으로 민감한 개인 파일을 저장하는 데 사용되며, 피해자가 데이터를 해독하기 위해 몸값을 지불하도록 하는 완벽한 수단이다.

 

2020년 6월, QNAP는 Photo Station 앱 보안 결함을 표적으로 삼은 eCh0raix 랜섬웨어 공격에 대해 경고했다.

 

eCh0raix(일명 QNAPCrypt)는 1년 후 돌아와 알려진 취약점과 취약한 패스워드를 가진 계정에 무차별 대입 공격을 이용하여 QNAP 장치에 액세스하려고 시도했다.

 

QNAP는 또한 2020년 9월에 취약한 Photo Station 버전을 악용하여 공개적으로 노출된 NAS 장치를 대상으로 하는 AgeLocker 랜섬웨어 캠페인에 대해 고객에게 경고했다.

 

QNAP 고객은 다음 절차를 통해 NAS 기기를 보호하고 맬웨어를 확인하는 것이 좋다.

 

  - 기기의 모든 계정에 대한 비밀번호 변경

  - 장치에서 알 수 없는 사용자 계정 제거

  - 장치 펌웨어가 최신 상태이고 모든 애플리케이션도 업데이트 되었는지 확인

  - 장치에서 알 수 없거나 사용하지 않는 애플리케이션 제거

  - App Center에서 QNAP MalwareRemover 애플리케이션 설치

  - 장치에 대한 액세스 제어 목록 설정 (Control panel -> Security -> Security level)

 

 

 

출처

https://www.bleepingcomputer.com/news/security/qnap-removes-backdoor-account-in-nas-backup-disaster-recovery-app/

첨부파일 첨부파일이 없습니다.
태그 HBS 3 Hybrid Backup Sync  QNAP  CVE-2020-2509  CVE-2020-36195