[閒聊] QNAP NAS被發現重大安全漏洞
QNAP 繼 Qlocker 攻撃後再被爆安全漏洞,IT 安全新聞網站 Bleeping Computer 23 日報導,台灣資安公司 ZUSO 發現 QNAP NAS 中存在後門帳戶,影響到所有正在運行 HBS 3 Hybrid Backup Sync 服務的裝置,駭客可以借助此漏洞登錄 QNAP NAS 並取得控制,此漏洞被評為 Critical 嚴重,建議用戶立即修復此漏洞。
HBS 3 Hybrid Backup Sync 服務是用作災難恢復和數據備份用途,備份檔案至本地端 NAS、外接裝置 (USB 一鍵啟動備份功能)、遠端伺服器或雲端儲存空間中,確保重要資料妥善保存,更可讓您便利追蹤修改紀錄。
受影響的 HBS 3 Hybird Backup Sync 版本包括︰
♦ QTS 4.5.2:HBS 3 Hybrid Backup Sync 16.0.0415 及更高版本
♦ QTS 4.3.6:HBS 3混合備份同步3.0.210412 及更高版本
♦ QuTS hero h4.5.1:HBS 3 Hybrid Backup Sync 16.0.0419 及更高版本
♦ QuTS cloud c4.5.1 c4.5.4:HBS 3 Hybrid Backup Sync 16.0.0419 及更高版本
QNAP 表示已得悉相關安全漏洞,已發佈了 HBS 3 Hybrid Backup Sync 最新版本修復此漏洞,用家請以管理員身份立即登錄 QTS 或 QuTS hero,應用程序中心點撃更新。
---
-----
Sent from JPTT on my iPhone
--
繼續用Asustor nas壓壓驚
我朋友被威脅0.01比特幣www
我朋友也中0.01比特幣XDDDDDD
nas 還是不要直接連外網 很容易中有的沒的
這也是為什麼我用過一次QNAP後打死不再用的原因...
storage版有受害者
回家路上才去看過s版 挺慘的 官方好像也不想救的樣
能挖礦嗎,不能這漏洞沒用
應該要能利用這漏洞把這些硬碟都拿去挖礦才爽對不
NAS不該開外網服務 有必要的話還要物理隔絕
但是一般人都是放一堆照片迷片 沒差了
內建後門 那沒救了
下次要換家了 我回報一個問題5個月了還沒處理
可怕
社團回報蠻多災情的,一次就黑了吧
還好我的nas是擺在沒有對外路徑的獨立內網,還可以
觀望一下更新檔有沒有雷
X
台灣台北,2021 年 4 月 22 日 – 運算、網通及儲存解決方案的創新者威聯通悔鴔(Q NAP긠Systems, Inc.) 今日發出聲明稿回應近日使用者回報及媒體報導關於 Qlocker 及 eCh0raix 變種勒索病毒鎖定 QNAP NAS,並對使用者資料進行加密壓縮索取贖金之事件。 QNAP 強烈建議所有使用者立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描, 並更新 Multimedia Console、Media Streaming Add-on 及 Hybrid Backup Sync 三個 A![Re: [閒聊] QNAP NAS被發現重大安全漏洞](https://www.qnap.com/assets/img/logo/defualt-sharing.png "Re: [閒聊] QNAP NAS被發現重大安全漏洞")
23
身為重度QNAP使用者我覺得這次事件主要的原因是開了多媒體相關APP 又沒更新APP造成的影響 我公司三台NAS都是QNAP,我自己本身也有買一台QNAP的 QNAP的OS老實說跟微軟有的比,每次更新都在修BUG進而產生更多的BUG 但我還是建議能更新就更新![Re: [閒聊] QNAP NAS被發現重大安全漏洞](https://i.imgur.com/eNyxgCKb.jpg "Re: [閒聊] QNAP NAS被發現重大安全漏洞")
23
Re: [情報] qnap又中勒索了剛查了一下QNAP的公告 說是有個系統提權漏洞剛修好 並釋出更新版本 但被駭客拿來攻擊還沒升級這個修復版本的NAS20
Re: [情報] QNAP NAS遭勒索軟體盯上大家 那個不幸的,這次我的QNAP中勒索了。 4/21 下午四點多中招,今天早上才發現 整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。 並且該目錄下有個 !!!READ_ME.txt 文字檔![Re: [情報] QNAP NAS遭勒索軟體盯上](https://s4.itho.me/sites/default/files/field/image/qlocker-payment-page-w.png "Re: [情報] QNAP NAS遭勒索軟體盯上")
14
[請益] NAS取代Goolge Sync備份功能?如題,請問是可行的嗎? 以下詳述狀況: 太太跟我,一人一台筆電,D槽存的資料了不起最大1TB,未來可能更換為2TB硬碟。目前兩台電腦是各使用兩個Google教育帳號並使用Google Sync同步功能,只要D槽的資料有異動就會自動同步備份到Google雲端硬碟上。 但因為前陣子Google公布在明年即將調整雲端硬碟政策,也就是說未來沒有這個空間可以繼續自動同步備份現行的D槽了,因此想提早逃跑找尋取代方案。 想請問一下,像這樣的情況,如果在自家組建入門NAS如群X的DS220J,然後使用4TB*2並組建RAID1,設定如Google Sync一樣自動同步兩台筆電D槽的資料至NAS,請問群X的NAS系統在功能上是可以做到取代Google Sync這樣自動同步的功能的嗎?13
Re: [問題] 買一代pixel上傳google相簿?花了一段時間研究出來了 這是需要NAS的解決方案 給各位參考 ## 前置作業 1. NAS安裝Resilio Sync![Re: [問題] 買一代pixel上傳google相簿?](https://is4-ssl.mzstatic.com/image/thumb/Purple112/v4/a7/50/ce/a750ce65-238e-40fc-9343-b0bbf928e805/AppIcon-Syno-1x_U007emarketing-0-0-0-4-0-0-85-220.png/1200x630wa.png "Re: [問題] 買一代pixel上傳google相簿?")
9
Re: [情報] QNAP NAS遭勒索軟體盯上若按照這篇報導所使用的漏洞是CVE-2020-2509以及CVE-2020-36195的話, 這兩個漏洞在QTS 4.5.X上是去年11月就修好了,但並不是所有型號的NAS都能上4.5 QTS 4.3.X一直拖到今年三月才修 白帽駭客展示的影片也很誇張,從8080port連上去直接就把密碼挖出來了![Re: [情報] QNAP NAS遭勒索軟體盯上](https://securingsam.com/wp-content/uploads/2021/03/Export_Blog_v1.jpeg "Re: [情報] QNAP NAS遭勒索軟體盯上")
8
[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1Synology近日警告使用者他們的NAS將遇到多個Netatalk漏洞的攻擊: "多個漏洞允許遠端攻擊者取得敏感訊息,且容易透過舊版DSM或SRM來進行攻擊,執行任意 程式碼。"![[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1](https://i.imgur.com/Mv2xyjLb.jpg "[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1")
7
Re: [情報] QNAP NAS遭勒索軟體盯上總之Qlocker的攻擊管道嫌犯目前有兩個 1.QNAP猜測的QSA-21-05與QSA-21-11 2.時間點相當接近的QSA-21-13 (HBS3) 這兩個弱點修補的時程 1.這兩個漏洞要更新韌體才能解決,但在QTS 4.5.X上是去年11月就修好了![Re: [情報] QNAP NAS遭勒索軟體盯上](https://file1.hkepc.net/2021/04/source/2316184727876658578.jpg "Re: [情報] QNAP NAS遭勒索軟體盯上")
1
[問題] 關於synology hyper backup的一些問題新增資訊:已自行找到所有答案 留存以供板友參考 最近由於接在NAS(synology ds415play)內部的一顆WD 1T硬碟出現壞軌 雖然移除重新使用SHR建立後可繼續使用 但讓自己又再度檢視自己的備份資料及方式
![[情報] 欣亞 技嘉 RTX 4070 EAGLE OC 15990](https://i.imgur.com/auv1hz8b.jpeg "[情報] 欣亞 技嘉 RTX 4070 EAGLE OC 15990")
![[開箱] ASUS TUF Gaming 850W Gold](https://i.imgur.com/Tz51cNKb.jpeg "[開箱] ASUS TUF Gaming 850W Gold")
![[情報] 桃子 十銓MP33PRO 512GB $999](https://i.imgur.com/xKd6pc0b.jpeg "[情報] 桃子 十銓MP33PRO 512GB $999")
![[閒聊] AORUS FO32U2P 微心得](https://i.imgur.com/ahWR3scb.png "[閒聊] AORUS FO32U2P 微心得")
![[情報] 蛇蛇DA V3 Pro再度2999 63g輕量好選擇](https://i.imgur.com/ZhOdVhkb.jpeg "[情報] 蛇蛇DA V3 Pro再度2999 63g輕量好選擇")