快修補！勒索軟體朝QNAP NAS軟體漏洞來襲

一隻名為Qlocker的新勒索軟體最近在網路上散佈，以QNAP的網路附加儲存(NAS)設備為感染目標，將檔案加密成密碼保護的.7 Zip檔。

第一宗通報感染的案例大約是在4月20日，勒索軟體背後的攻擊者向受害者勒索0.01個比特幣，大約500.57美元來換取解密金鑰。

Qlocker是鎖定QNAP NAS上的三個軟體Multimedia Console、Media Streaming Add-on及HBS 3 Hybrid Backup Sync（混合型備份與同步中心）上的漏洞發動攻擊。這家台灣儲存設備商上周釋出修補程式，並在本周發出安全公告，呼籲用戶升級到最新版本以免遭駭。

導致攻擊的軟體漏洞有二。CVE-2020-36195為一資料隱碼(SQL Injection)漏洞，影響Multimedia Console或Media Streaming Add-on，成功開採可導致資訊洩露。CVE-2021-28799則是HBS 3 Hybrid Backup Sync不當授權，造成攻擊者可輕易登入裝置。

但Qlocker不是最近攻擊QNAP NAS的唯一惡意程式。駭客也用了eCh0raix來加密QNAP NAS的敏感資料。eCh0raix首見於2019年7月，以攻擊QNAP已知漏洞或採用暴力破解密碼聞名。

此外，QNAP也正在開發移除惡意軟體的工具，在此之前，該公司呼籲用戶升級到最新版Malware Remover掃瞄系統以確保安全。QNAP並建議用戶將存取NAS作業系統的傳輸埠，由預設的8080改成別的，並且利用3-2-1備份法則來來備份NAS（即資料至少備份3份、使用2種以上不同的備份媒體，其中1份備份要存放在異地），確保資料的完整性及安全。

來源：The Hacker News