在前幾天的 9 月 3 日爆發出 DeadBolt 勒索軟體透過 QNAP Photo Station 進行攻擊,加密 NAS 內的檔案導致無法正常開啟。在防範方面,QNAP 有提出幾項重要事項,包含更新 QNAP QTS 系統以及更新 QNAP Photo Station 到最新狀態。本篇附上 QNAP 原始文章,以及網路相關文章連結。如果說手上的 QNAP NAS 沒有中這次的 DeadBolt Ransomware 勒索病毒,請參考本篇翻自 QNAP 的說明加強安全;如果不幸已經中標,請趕快連絡 QNAP 客服詢問下一步如何解決最為安全。
養成使用 NAS 的好習慣提高安全性
在 NAS 的檔案使用安全來說,請務必要做到備份 321 法則,確保檔案的安全性,詳細可以參考:使用「NAS」搭配「備份321原則」算是最簡單輕鬆的檔案備份方式。至於在 NAS 與相關程式來說,都要隨時注意是否有保持在最新狀態,這個會是非常重要的項目。接下來關於 NAS 的安全性來說,在使用上不要公開裸奔 NAS,也就是說不要將 NAS 的服務直接公開對外,讓外面的每一位都能隨時存取。假設讓每個不認識的外人都可以連接 NAS 的話,也會代表有心人士也是可以進行存取攻擊。平時可能還有防火牆、帳密安全性保護,但當遇到有漏洞或者疏忽的話,可能就直接發生問題。本篇的來源為 QNAP Security Advisory QSA-22-24 頁面,正是這一次問題的解說,只是原文為英文,在此老貓翻為中文分享。
▼ 如果看得懂英文,也可以直接參考 QNAP 原文說明。
趕快升級 QNAP QTS、QNAP Photo Station 為最新版本
在 QNAP Security Advisories 資安公告頁面,從 2022 年 2 月 2 日 到 2022 年 9 月 3 日發布有關 DeadBolt Ransomware 勒索軟體相關資訊來說,之前只要更新系統即可。在當時 QNAP 還有發佈一篇新聞稿「防止 DeadBolt 勒索比特幣,威聯通宣導大家停止 QNAP NAS 裸奔並檢查相關設定」,讓大家趕快設定提高安全性。
不過這次除了更新 QTS 系統外、設定安全性避免 NAS 裸奔外,還要再更新 QNAP Photo Station 程式來進行防範,因為這一次正式針對此 APP 進行攻擊。如果正在使用的 QNAP NAS 沒有發生問題的話,趁現在趕快更新比較安全。目前最新版本都已經修補好問題,可以參考以下的版本說明。
QNAP 已修復好漏洞的相關版本:
- QTS 5.0.1:Photo Station 6.1.2 及更高版本
- QTS 5.0.0/4.5.x:Photo Station 6.0.22 及更高版本
- QTS 4.3.6:Photo Station 5.7.18 及更高版本
- QTS 4.3.3:Photo Station 5.4.15 及更高版本
- QTS 4.2.6:Photo Station 5.2.14 及更高版本
本次 DeadBolt Ransomware 之 QNAP 建議事項
如果想要避免這一次與未來的 DeadBolt Ransomware 勒索軟體威脅,QNAP 建議要注意以下事項:
- 關閉路由器的端口轉發功能 (port forwarding)。
- 在 NAS 上設置 myQNAPcloud 以啟用安全遠程訪問並防止暴露在網路上。
- 將 NAS 系統版本更新至最新版本。
- 將 NAS 上的所有 App 應用程式更新到最新版本。
- 為 NAS 上的所有使用者帳戶加強密碼。
- 拍攝快照(Snapshots)並定期備份以保護您的資料。
檢查 QNAP NAS 是否暴露於外網
關於這部分可以參考上次 QNAP 官方說明:「防止 DeadBolt 勒索比特幣,威聯通宣導大家停止 QNAP NAS 裸奔並檢查相關設定」,不要讓 NAS 公開於網路上。換句話說,當我們在任何地方都可以方便連回自己 NAS 時,同時也代表著其他有心人士也是相同的道理,都可以順利連回 NAS。此時,若是沒有嚴格的密碼以及安全管控,很容易就會被入侵 NAS;但若是遇到系統或程式漏洞,還可能直接繞過密碼管控而直接入侵。
▼ 先關閉 NAS 的 UPnP 功能。
在方便的前提下,其實還有許多地方要多加小心。比較安全的辦法,還是要開啟 VPN 等相關設定,這部分對於 QNAP 來說,如果有搭配使用 QNAP 路由器網通設備的話,可以直接啟用 QuWAN 來操作,過程非常容易。但若非使用 QNAP 網通設備的話,可以留意自己的設備是否有支援 VPN,也都可以開啟使用。當然,也不代表使用 VPN 就絕對沒有問題,但光是開啟使用就比裸奔在公開網路上的 NAS 更加安全。
在此分享一下關於 VPN 設定,以及 QNAP VPN 相關網通產品與服務:
- (非 QNAP 使用者可以參考)路由器架設VPN伺服器,可以翻牆也提高遠端桌面安全性
- 使用 QNAP 路由器架設 QNAP QuWAN 技術分享,SD-WAN VPN 組網連線安全又簡單
- QNAP QMiro-201W 三頻 Wi-Fi Mesh AC2200 SD-WAN 路由器評測,未滿3000元支援 VPN 以及 QuWAN 服務
- QNAP QMiroPlus-201W 三頻 Wi-Fi Mesh AC2200 NAS 智能路由器評測,結合 NAS 與路由器功能
- QNAP QHora-301W Wi-Fi 6 雙 10GbE SD-WAN 路由器評測,支援 VPN 以及 QuWAN 服務
- 威聯通 發表新版 QNAP QuWAN 2.1 SD-WAN, 加強 QVPN Client 以及更多細節
- QNAP QHora-301W 防火牆進階設定,提高 VPN 外連安全性
- 透過 QVPN 軟體輕鬆使用 QNAP QBelt VPN 連線,防止惡意攻擊
設定 QNAP myQNAPcloud 權限為私人或自訂
- 以管理員身份登入 QNAP QTS 系統。
- 打開 myQNAPcloud 雲服務。
- 禁用 UPnP 端口轉發。
- 轉到 自動路由器配置。
- 取消選擇 啟用 UPnP 端口轉發。
- 啟用 DDNS。
- 轉到 My DDNS。
- 單擊切換按鈕開啟 My DDNS。
- 不要公開 NAS 服務。
- 點擊到公開的服務。
- 取消選擇公開下的所有項目。
- 點擊套用。
- 配置 myQNAPcloud Link 以啟用通過 SmartURL 對 NAS 的安全遠程訪問。
- 轉到 myQNAPcloud 頁面。
- 單擊 安裝 以在您的 NAS 上安裝 myQNAPcloud Link。
- 單擊開啟按鈕以啟用 myQNAPcloud Link。
- 限制哪些用戶可以通過 SmartURL 遠程訪問您的 NAS。
- 轉到 存取控制。
- 在設備訪問控制旁邊 ,選擇 私人 或 自訂。
- 注意: 選擇 私人 Private 僅允許登錄到 myQNAPcloud 的 QNAP ID 通過 SmartURL 訪問 NAS。選擇 自定義 允許您邀請其他 QNAP ID 帳戶通過 SmartURL 訪問設備。
- 如果您選擇 自訂,請點擊增加 QNAP ID 來邀請用戶,有授權才能連線使用。
- 通過轉到 Overview 獲取 SmartURL 。
有關使用 myQNAPcloud 的問題,請訪問 https://support.myqnapcloud.com/。
▼ myQNAPcloud 雲服務 → My DDNS,可以開起 My DDNS 服務。
▼ myQNAPcloud 雲服務 → 公開服務,將右側的公關全部取消勾選後,按下套用設定。
▼ myQNAPcloud 雲服務 → myQNAPcloud Link 啟用服務。
▼ myQNAPcloud 雲服務 → 存取控制,可以決定誰可以進行連線。如果設定為公開,代表所有人都可以連線,因此非常不建議使用公開。
▼ 如果設定為私人,就只有自己可以存取。
▼ 如果設定為自訂,則可以新增可以存取的 QNAP ID 的使用者進行使用。
更新 QNAP QTS 系統
- 以管理員身份登入 QNAP QTS。
- 轉到 「控制台 → 系統 → 韌體更新」。
- 在即時更新頁面,點擊檢查更新,查看 QTS 下載並安裝最新的可用更新。
- 提示: 您也可以從 QNAP 網站下載更新。轉到支持 > 下載中心,然後為您的特定設備執行手動更新。
▼ 點選「控制台 → 系統 → 韌體更新」後,可以檢查當前版本是否要更新。
更新所有 QNAP App 應用程序
- 以管理員身份登入 QNAP QTS。
- 打開 AppCenter 應用中心。
- 在頁面右上角找到 安裝更新。
- 點擊全部,出現確認消息。
- 點擊確定,將進行 QNAP QTS 安裝所有應用程序到最新版本。
▼ 點下「AppCenter」,點選「我的應用程式」,最上方會列出可以更新的 App,點選全部更新。
更新 QNAP Photo Station
- 以管理員身份登錄 QTS。
- 打開 AppCenter 應用中心,然後點擊搜索框。
- 輸入「Photo Station」。Photo Station 出現在搜索結果中。
- 點擊更新,出現確認提示說明。
- 注意:如果您的版本已經是最新的, 則更新按鈕不可用。
- 點擊確定,應用程序已更新。
▼ 直接從 AppCenter 搜尋「Photo Station」,也可以進行更新。不過老貓沒有安裝,因此沒有相關的選項。
附錄相關連結
- 2022-09-03 QNAP DeadBolt Ransomware 資安消息
- 2022-02-02 QNAP DeadBolt Ransomware 資安消息
- Trend Micro Closing the Door: DeadBolt Ransomware Locks Out Vendors With Multitiered Extortion Scheme