Pomoc Masowe ataki na QNAPy?

maks87

Network Architect
Q's Professional
20 Lipiec 2012
448
2
69
28
37
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Jak już ze dwa dni temu pisałem na czacie, od kilku dni znowu występują chyba jakieś zmasowane ataki na QNAPy. Z fb wynika, że nawet komuś tam poszyfrowało dane, a na czasie @Silas Mariusz coś wspominał o dużej ilości tego typu zgłoszeń.
W administracji mam trzy QNAPy, wszędzie mam publiczny i stały adres IP. Urządzenia nie są zarejestrowane w myqnapcloud, a na każdym z nich jedynym "publicznym" punktem styku jest serwer OpenVPN (na zmienionych portach) a więc na routerze następuje przekierowanie tego portu na QNAPa.
Na wszystkich urządzeniach uruchomiony QuFirewall i to właśnie z niego zrzuciłem sobie statystyki ilości blokowań.

Wygląda to tak jak na poniższym wykresie:
- lokalizacja A (między 20 a 30 grudnia była w ogóle odcięta od internetu) - w dniach 1-5 stycznia widać wzrost, następie skok 6 stycznia
- lokalizacja B - tutaj wyraźnie widać wzrost 25 grudnia, liczba utrzymuje się na stałym poziomie do 4 stycznia, potem 6-7 stycznia nic, 8 stycznia pik a 9 stycznia bardzo mała liczba
- lokalizacja C - tutaj cały czas pomijalne wartości, nie widać żadnych ataków

1641773387657.png


Pamiętając sytuację z wiosny 2021, czy tym razem znowu musimy się czegoś bać, czy mając zastosowane zasady o których wtedy było głośno (m.in. brak dostępu do myqnapcloud, wyłączone konto admina itd) można spać spokojnie?
 
Takie ataki będą występowały co raz częściej - z prostego powodu. Mały odsetek ludzi zabezpiecza swoją sieć, a większość używa starych i dziurawych TP Linków. Nie powinno być dla nikogo zaskoczeniem, że co jakiś czas ktoś znajduje dziurę w Qnapie - bo takie dziury są wszędzie - o czym ostatnio było głośno - log4j. Więc jeżeli komuś zależy na bezpieczeństwie, to jak było mówione wiele razy - trzeba się odłączyć od internetu. W innym wypadku, zawsze jest szansa na atak. Można to zminimalizować, używając dobrych routerów czy UTM. OFC, dla wszystkich obowiązkiem powinien być odpowiednio skonfigurowany QuFirewall.
 
Mały odsetek ludzi zabezpiecza swoją sieć, a większość używa starych i dziurawych TP Linków. Nie powinno być dla nikogo zaskoczeniem, że co jakiś czas ktoś znajduje dziurę w Qnapie - bo takie dziury są wszędzie - o czym ostatnio było głośno - log4j. Więc jeżeli komuś zależy na bezpieczeństwie, to jak było mówione wiele razy - trzeba się odłączyć od internetu. W innym wypadku, zawsze jest szansa na atak. Można to zminimalizować, używając dobrych routerów czy UTM.

Przepraszam, ale co ma TP Link do dziur w QNAP-ie? Wskazujmy rzeczywiste źródła problemów - wbudowane backdoory (to jest moim zdaniem skandal, taka rzecz nie miała prawa wydarzyć się w 2021) i dziury w autorskim oprogramowaniu QNAP. Na to żaden router nie pomoże, a tworzenie reguł a la WAF, przenoszenie usług na wysokie porty i zmienianie nazwy konta administratora to "pudrowanie syfa".

Podstawowe, uniwersalne zasady - nie wystawiajcie NAS na zewnątrz, a jeżeli musicie, zadbajcie, aby wystawiać tylko konieczne usługi i aktualizujcie oprogramowanie na bieżąco. Zadbajcie także o uwierzytelnianie (mocne hasła, do tego 2FA, jeśli można), a najlepiej rozważcie dostęp z zewnątrz wyłącznie przez VPN.

Wiem, że powyższe może utrudnić bądź uniemożliwić korzystanie z oprogramowania QNAP, ale ja nie mam tyle zaufania do jego bezpieczeństwa, aby wystawić je na zewnątrz (zwłaszcza po akcjach z lat ubiegłych).
 
Już napisałem - to nie wina "starych i dziurawych TP Linków", jak zdawał się sugerować przedpiśca, a z przeglądania forum wynika, że mnóstwo osób wystawia swoje QNAP-y do sieci... Więc ewidentnienie ma świadomości u tych użytkowników o słabej jakości oprogramowania QNAP.
 
Wiem, że powyższe może utrudnić bądź uniemożliwić korzystanie z oprogramowania QNAP, ale ja nie mam tyle zaufania do jego bezpieczeństwa, aby wystawić je na zewnątrz (zwłaszcza po akcjach z lat ubiegłych).
To jest ciekawe, że używam serwera QNAP NAS już 13 lat i zawsze wystawiam bezpośrednio pod WAN. Nawet routera ani modemu nie mam po drodze. Tylko wtyczkę Eth od ISP. I jakimś cudem praktyki monitorowania sieci i usług sprawiają, że nie jestem atakowany. Dlaczego?
Na to żaden router nie pomoże, a tworzenie reguł a la WAF, przenoszenie usług na wysokie porty i zmienianie nazwy konta administratora to "pudrowanie syfa".
Hahaha.
No nie wierze....
Słuchając Ciebie są dwa wyjścia:
1) nie podłączać się do internetu
2) albo podłączyć się do internetu i nie pudrować syfa i zostać zainfekowanym.
Jeśli masz coś konstruktywnego co możesz wnieść do tego tematu to zapraszam do dyskusji. W przeciwnym wypadku zapraszam do grupy "Banned".
 
@vatazhka wiesz, że teraz nie było żadnego ataku, tylko anty malware blokował system?

A czyj jest ten antymalware?

Zresztą od początku ostatniej fali ataków minęło ile, dwa tygodnie? QNAP NAS devices hit in surge of ech0raix ransomware attacks Jak myślisz, ilu jest ludzi przekonanych, że ma włączone automatyczne aktualizacje, podczas gdy błąd QNAP powoduje, że mimo zaznaczonej odpowiedniej opcji NAS nie aktualizuje się, a ilu ludzi wyłączyło tę opcję ze względu na wcześniejsze doświadczenia z jakością programowania QNAP i wracając z urlopu znalazło zaszyfrowane pliki?

To jest ciekawe, że używam serwera QNAP NAS już 13 lat i zawsze wystawiam bezpośrednio pod WAN. Nawet routera ani modemu nie mam po drodze. Tylko wtyczkę Eth od ISP. I jakimś cudem praktyki monitorowania sieci i usług sprawiają, że nie jestem atakowany. Dlaczego?

Przyczyn może być wiele. Może siedzisz za NAT? Może odfiltrowałeś wszystkie porty (albo zrobił to twój ISP z wybranymi portami)? Może twój adres IP nie należy do AS będącego obiektem szczególnego zainteresowania atakujących?

BTW, "praktyki monitorowania sieci i usług" nie zapobiegają atakom, tylko pozwalają je wykryć, a to są dwie różne sprawy.

Hahaha.
No nie wierze....
Słuchając Ciebie są dwa wyjścia:
1) nie podłączać się do internetu
2) albo podłączyć się do internetu i nie pudrować syfa i zostać zainfekowanym.
Jeśli masz coś konstruktywnego co możesz wnieść do tego tematu to zapraszam do dyskusji. W przeciwnym wypadku zapraszam do grupy "Banned".

Ogólny wniosek jest taki, że biorąc pod uwagę liczbę wpadek bezpieczeństwa QNAP choćby w ubiegłym roku - coś bardzo złego dzieje się z praktykami wytwarzania oprogramowania w tej firmie. Taka ilość krytycznych błędów wskazuje na traktowanie bezpieczeństwa po macoszemu i dlatego nie rekomendowałbym wystawiania usług QNAP "w świat", zdając się jedynie na zmianę numeru portu. Ktoś bardziej ogarnięty od przeciętnego automatu wjedzie na taki NAS bez problemu, jeżeli w usłudze będzie dziura (a te są często, dowody w bazie CVE).

Jeżeli komuś zależy na bezpieczeństwie, to schowa NAS w głębi sieci, a dostęp do niego zorganizuje po VPN. Tylko jakimś sprawdzonym, nie tym od QNAP, bo tu też można się nadziać: Vulnerability in QVPN Service - Security Advisory Można od biedy rozważyć zewnętrzny firewall i port knocking, jeżeli to dla kogoś wygodne. To oczywiście dotyczy ataków z zewnątrz - jakiekolwiek zabezpieczanie wypadałoby poprzedzić analizą tego, kto, skąd i jak może/chce nas atakować.

Co do banowania - twoje forum, zrobisz co zechcesz.
 
@vatazhka a kolega jest świadom, że ostatnio w openvpn byłą dziura wielkości Jowisza? Ano pewno nie. Oczywiście, że powinno być oprogramowanie w 100% bezpieczne. Ale nie jest i uwaga - żadne, nigdy nie będzie. Bo tworzą je ludzie, składa się z wielu różnych gotowych rozwiązań - i nie będą pewne w 100%.

Ja polecam przesiąść się na S, a widzę po postach że pewnie masz trochę wiedzy - zbudować sobie serwer, zrobić na nim TrueNAS i w nosie mieć Qnapa i jego dziury. Będziesz szczęśliwym człowiekiem. Qnapa sprzedaj, chętni się znajdą.
 
Nie do końca, bo z reguły skanuj się standardowe porty, mało kto wali wszystkie 65000. Im wyższy tym lepiej. Ja używam IPsec, L2TP, może za niedługo WireGuarda.
Połączono posty:

Porty UDP skanuje się trudniej - i nie zawsze daje dobre to wyniki.
 
To jaki VPN polecacie? Z dyskusji wynika, że zmiana numerów portu z 443 na jakiś wysoki - jest w sumie bez sensu. Czyli zmienić czy nie zmienić :)
K.
Zmienić. Używam biznesowo VPN i informatycy nigdy nie używają domyślnych portów. Dawniej zdarzało się, że pewne usługi stawiało się na portach DNS np. 53 albo 443, bo te były otwarte na lotniskach, czy podczas podróży pociągami. Ale dzisiaj bardziej dba się o bezpieczeństwo i ignoruje się połączenia z takich lokalizacji.
 
  • Lubię to
Reakcje: krzysiek33
To podzielę się moim doświadczeniem
Qnap za firewallem. Żadne porty do niego nie kierowane. Nie wyrejestrowałem go z myqnap.cloud.
Po długim weekendzie martwy. Brak odp na ping, brak dostępu do smb. brak www itd
Piszę na help desk czy restart czy nie (przypomnę, że ostatnio ci co nie restartowali mieli szansę na odzyskanie klucza)
Tak restart i wprowadzić policy zgodnie z zalecaniami ze strony qnap.
Wypinam dziada z sieci. Restart. Podniósł się. Usunąłem wszystkie bramy i dnsy na interfejsach.
Wyłączone konto admin. Zmiana hasła administratora i reszta jak "każą" jest
Włączam dziada do sieci. Wyskakują komunikaty. Brak synchro z czasem, brak dostępu do netu itd. No super. Nie jest w necie powinno być ok. Chyba nic się stać nie może.
Muli się cały dzień niemiłosiernie. Robię kopię (próbuję) danych na hdd po usb 3.0.
12 godzin później 98% - 1 TB danych.
Przeglądam logi. No szok. Podłączeni użytkownicy - ja z podanym nr ip
i ON użytkownik admin

I jakie pomysły Państwo na to?
 
  • Lubię to
Reakcje: vatazhka
Jako admin mogła zostać odpalona jakąś aplikacja, spójrz w qulog center(o ile masz) jaki ma adres admin. Ja mam drugiego usera i często proces na adminie jakiś wskakuje


Wysłane z mojego LYA-L29 przy użyciu Tapatalka
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. QuTS Cloud
  2. dostęp z zewnątrz
  3. USB Share
  4. zmiana portu
  5. eCh0raix Ransomware
  6. Truenas
  7. download station
  8. ech0raix
  9. qufirewall