Help Masowe ataki na QNAPy?

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Jak już ze dwa dni temu pisałem na czacie, od kilku dni znowu występują chyba jakieś zmasowane ataki na QNAPy. Z fb wynika, że nawet komuś tam poszyfrowało dane, a na czasie @Silas Mariusz coś wspominał o dużej ilości tego typu zgłoszeń.
W administracji mam trzy QNAPy, wszędzie mam publiczny i stały adres IP. Urządzenia nie są zarejestrowane w myqnapcloud, a na każdym z nich jedynym "publicznym" punktem styku jest serwer OpenVPN (na zmienionych portach) a więc na routerze następuje przekierowanie tego portu na QNAPa.
Na wszystkich urządzeniach uruchomiony QuFirewall i to właśnie z niego zrzuciłem sobie statystyki ilości blokowań.

Wygląda to tak jak na poniższym wykresie:
- lokalizacja A (między 20 a 30 grudnia była w ogóle odcięta od internetu) - w dniach 1-5 stycznia widać wzrost, następie skok 6 stycznia
- lokalizacja B - tutaj wyraźnie widać wzrost 25 grudnia, liczba utrzymuje się na stałym poziomie do 4 stycznia, potem 6-7 stycznia nic, 8 stycznia pik a 9 stycznia bardzo mała liczba
- lokalizacja C - tutaj cały czas pomijalne wartości, nie widać żadnych ataków

1641773387657.png


Pamiętając sytuację z wiosny 2021, czy tym razem znowu musimy się czegoś bać, czy mając zastosowane zasady o których wtedy było głośno (m.in. brak dostępu do myqnapcloud, wyłączone konto admina itd) można spać spokojnie?
 

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
@vatazhka a kolega jest świadom, że ostatnio w openvpn byłą dziura wielkości Jowisza? Ano pewno nie. Oczywiście, że powinno być oprogramowanie w 100% bezpieczne. Ale nie jest i uwaga - żadne, nigdy nie będzie. Bo tworzą je ludzie, składa się z wielu różnych gotowych rozwiązań - i nie będą pewne w 100%.

Ja odnoszę się do oprogramowania QNAP. Zerknij tu: Qnap : Security vulnerabilities Ilość, krytyczność i rodzaje błędów (Tyle błędów you buffer overflow w 2021?) świadczą o tym, że firma nie stosuje dobrych praktyk ani narzędzi podnoszących jakość na etapie tworzenia kodu, że już o testach nie wspomnę.

Porównaj sobie te liczby choćby z OpenVPN, na który się powołałeś (Ja używania go nie sugerowałem, bo wg mnie to też niezbyt dobry kawałek softu.).

Ja polecam przesiąść się na Synology, a widzę po postach że pewnie masz trochę wiedzy - zbudować sobie serwer, zrobić na nim TrueNAS i w nosie mieć Qnapa i jego dziury. Będziesz szczęśliwym człowiekiem. Qnapa sprzedaj, chętni się znajdą.
Tutaj za bardzo alternatywy dla mnie nie ma, potrzebuję małej, cichej i energooszczędnej platformy do domu. Analogiczne do QNAP rozwiązania od Synology kosztują prawie dwa razy więcej. Tak więc QNAP traktuję jako bazę do własnoręcznie wyrzeźbionych rozwiązań, co do celów "domowo-grzebackich" jest do przyjęcia. Łączę się z zewnątrz z użyciem VPN, ale nie tego od QNAP. Żadnych usług nie serwuję. Gdyby nadal była możliwość instalacji Debiana, wchodziłbym natychmiast w tę opcję.
 

VDR

Moderator
Contributor
Feb 6, 2019
101
35
28
42
QNAP
TS-x53B
Ethernet
1 GbE
1642070567664.png

To jest statystyka pokazująca tylko i wyłącznie usługi zwracające słowo "QNAP" w jednym z największych hostów skanujących sieć. 9778 urządzeń w samej PL ;)

Bardziej dokładniej:
1642070884455.png

I może żeby jeszcze bardziej unaocznić. Jeden z losowo wybranych QNAP:

1642071275604.png


Port 2000 wskazuje na Microtika nie do końca poprawnie skonfigurowanego, no chyba - że ktoś testera łącza używa ;) Reszta portow zapewne na forwardingu zrobiona ;) 554 RTSP - wiec zapewne jakas camera wystawiona na swiat. 8999 - zdaje sie ze Filestation.

QNAP TS-231P3:
Hostname: <deleted>
Model:
Model Name: TS-X31P2
Internal Model Name: TS-X41
Display Model Name: TS-231P3
Platform: TS-NASARM
Platform Ex: ARM_AL
Firmware:
Version: 4.5.4
Number: 1723
Build: 20210708
Apps:
Filestation:
Version: 5.5.3
Build: 20210708

Jesli dziura bedzie np. w Filestation umozliwiajaca wykonanie polecenia na QNAP to ...... dalej chyba nie muszę tłumaczyć ? ;)
 
  • Like
Reactions: vatazhka

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
ja tylko powiem tak - da sie zainstalowac Debiana zamiast QTS :p
Brniemy w off-topic, ale dopytam - na nowszych ARM-ach też? Strony Debiana i QNAP-a wspominają tylko o starych platformach Kirkwood i Orion, które za chwilę przestaną być wspierane (mam już urządzenia, które utknęły na starych wersjach jądra i niewiele da się z tym zrobić, nie polecam).
 

VDR

Moderator
Contributor
Feb 6, 2019
101
35
28
42
QNAP
TS-x53B
Ethernet
1 GbE
Brniemy w off-topic, ale dopytam - na nowszych ARM-ach też? Strony Debiana i QNAP-a wspominają tylko o starych platformach Kirkwood i Orion, które za chwilę przestaną być wspierane (mam już urządzenia, które utknęły na starych wersjach jądra i niewiele da się z tym zrobić, nie polecam).
EOS i EOL dla urządzeń to nic nowego. Nic nie jest wieczne.
Zresztą, proszę bardzo, lista urządzeń Synology - poszukaj sobie po słowie kluczowym "wycofany"
Stan pomocy technicznej produktu firmy Synology | Synology Inc.
 

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
Debian jest w porządku - ba, sam go wykorzystuję do wielu rzeczy - ale QuTaS daje dużo wygody i oszczędza czasu. Ja stoję po stronie, że mimo wszystko - ja bym nie zrezygnował z niego. Mam już swoje przyzwyczajenia i naleciałości. Za to nie mogę się przekonać do truenas, który ma świetną opinię i takie tam bla bla bla. Oczywiście, nie jestem lekkoduchem i porty mam zmienione, a wszystko stoi za IPSem.
 

VDR

Moderator
Contributor
Feb 6, 2019
101
35
28
42
QNAP
TS-x53B
Ethernet
1 GbE
@VDR gdzie mozna uzyskac dostep do takich danych?
Tak jak wrzucil @Silas Mariusz - shodan.io - a jak dodam, ze można tego używać z cli i pisać skrypty wyszukujace to .... na prawde nie potrzeba duzo by znalezc podatne urzadzenia na to co odkrylismy. A jak jeszcze wpadniemy na pomysl by wrzucic trojana i go uspic by wyzwolic atak jak juz bedziemy mieli odpowiednia ilosc zainfekowanych urzadzen, tak by szum medialny nie pokrzyzowal nam planow to moze sie okazac, ze zablokujesz NAS przed dostepem z zewnatrz ale trojana masz juz w systemie i to on sie z tym swiatem łączy by odebrac instrukcje co ma robić. To oczywiscie tez da sie blokować. Trzeba mieć świadomość po prostu co się może wydarzyć i przed czym trzeba się chronić. Zezwolić z czym się może taki NAS łączyć, bo może w ogóle nie potrzebuje poza np. NTP czy DNS, które da się ogarnąć lokalnie itd itd.

I to niezaleznie czy to QNAP, czy FreeNAS czy jakieś Synology.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Dzięki, nie znałem tej strony a widzę, że sporo ciekawych rzeczy można tam obejrzeć:)

Tylko co to oznacza, że jak po wpisaniu tam (na shodan.io) swojego adresu IP nic nie znajduje?
 

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
Oczywiście, nie jestem lekkoduchem i porty mam zmienione, a wszystko stoi za IPSem.

Panowie, ale zdajecie sobie sprawę, że zmiana portów to jest "security by obscurity" i że choćby przywołany wyżej shodan.io daje możliwość wyszukiwania usługi po bannerze i fungerprincie? Dlatego zmienianie portów nazywam "pudrowaniem syfa". Ktoś w końcu zrobi robaka pobierającego dane o celach do zainfekowania uzyskane z tego typu usługi zamiast walenia w domyślny port i kicha. Whitelisting adresów IP na firewallu to minimum.

Oprócz softu od QNAP jest jeszcze ogromny problem z pakietami .qpkg zbudowanymi przez "strony trzecie". Przyjrzałem się kilku pakietom i okazało się, że odpalają usługi sieciowe na prawach użytkownika admin (UID 0). To było uznawane za błąd już 25 lat temu... To doskonałe wrota do przejęcia całego NAS.
 
  • Like
Reactions: Pawliko and Kong

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
To nie tak powinno działać. Jakoś w innych systemach nie ma z tym problemu, choćby nawet w ultralekkim OpenWrt usługi są odpalane z uprawnieniami nieuprzywilejowanych użytkowników. Naprawdę nie trzeba do tego stosować kontenerów i wirtualizacji. Tak jak pisałem, to jest temat rozpoznany 25 lat temu.
 
  • Like
Reactions: Pawliko

pigers

Zawsze pytaj Silasa - wie lepiej bo ma ESXi
Administrator
Jul 26, 2013
12,803
5
2,043
230
www.buymeacoffee.com
QNAP
null
Ethernet
100 GbE
Oprócz softu od QNAP jest jeszcze ogromny problem z pakietami .qpkg zbudowanymi przez "strony trzecie". Przyjrzałem się kilku pakietom i okazało się, że odpalają usługi sieciowe na prawach użytkownika admin (UID 0). To było uznawane za błąd już 25 lat temu... To doskonałe wrota do przejęcia całego NAS.
nic nowego <ziewa>, od 2004 roku nie potrafia inaczej :>


Jak nie to odpal w sandboxie na QuTS Cloudzie.
ja tylko zostawię tutaj : What are the network ports used by Qnap QTS, QuTScloud and QuTS hero system?
i takie coś .. odpaliłem QuTS cloud w dedykowanym VLANie i dropowałem cały ruch do internetu .. po 1h vmka się wyłączyła .. czemu bo nie mogła doczytać licencji, ale na którym to porcie działa .. do dzisiaj nie wiem i nie wnikam ..
 
  • Like
Reactions: Pawliko

Arkadiusz

System Engineer
Q Specialist
Jan 11, 2021
112
5
18
39
QNAP
TS-x51+
Ethernet
1 GbE
To zdanie wydaje się być również kwintesencją podejścia QNAP do tematu bezpieczeństwa.
A czy orientujecie się koledzy jak to jest u konkurencji? np Synology, jest bezpieczeniej? ataki rzadziej, czy nie ma znaczenia producent Nas-a i jego oprogramowania?