Pomoc Masowe ataki na QNAPy?

maks87

Network Architect
Q's Professional
20 Lipiec 2012
448
2
69
28
37
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Jak już ze dwa dni temu pisałem na czacie, od kilku dni znowu występują chyba jakieś zmasowane ataki na QNAPy. Z fb wynika, że nawet komuś tam poszyfrowało dane, a na czasie @Silas Mariusz coś wspominał o dużej ilości tego typu zgłoszeń.
W administracji mam trzy QNAPy, wszędzie mam publiczny i stały adres IP. Urządzenia nie są zarejestrowane w myqnapcloud, a na każdym z nich jedynym "publicznym" punktem styku jest serwer OpenVPN (na zmienionych portach) a więc na routerze następuje przekierowanie tego portu na QNAPa.
Na wszystkich urządzeniach uruchomiony QuFirewall i to właśnie z niego zrzuciłem sobie statystyki ilości blokowań.

Wygląda to tak jak na poniższym wykresie:
- lokalizacja A (między 20 a 30 grudnia była w ogóle odcięta od internetu) - w dniach 1-5 stycznia widać wzrost, następie skok 6 stycznia
- lokalizacja B - tutaj wyraźnie widać wzrost 25 grudnia, liczba utrzymuje się na stałym poziomie do 4 stycznia, potem 6-7 stycznia nic, 8 stycznia pik a 9 stycznia bardzo mała liczba
- lokalizacja C - tutaj cały czas pomijalne wartości, nie widać żadnych ataków

1641773387657.png


Pamiętając sytuację z wiosny 2021, czy tym razem znowu musimy się czegoś bać, czy mając zastosowane zasady o których wtedy było głośno (m.in. brak dostępu do myqnapcloud, wyłączone konto admina itd) można spać spokojnie?
 
Z powyższego wynika, że dany malware zaprojektowano do działania również na urządzeniach S.

Jednak należy rozdzielić dwie sprawy: malware najpierw musi dostać się na urządzenie, żeby zadziałać. Ja powyżej starałem się udowodnić, że w przypadku QNAP malware ma ułatwione zadanie w odniesieniu do typowych serwerów linuxowych ze względu na problemy z jakością oprogramowania QNAP i wewnętrzną architekturą QTS. Jak to jest w przypadku S - nie wiem, nie oglądałem, jak to jest w ich produktach rozwiązane.

Możesz sobie "na szybko" porównać ilość i kategorie znalezionych dziur w produktach QNAP i S, przy podobnie popularnych rozwiązaniach może to posłużyć do wyrobienia sobie opinii.
 
Z powyższego wynika, że dany malware zaprojektowano do działania również na urządzeniach S.

Jednak należy rozdzielić dwie sprawy: malware najpierw musi dostać się na urządzenie, żeby zadziałać. Ja powyżej starałem się udowodnić, że w przypadku QNAP malware ma ułatwione zadanie w odniesieniu do typowych serwerów linuxowych ze względu na problemy z jakością oprogramowania QNAP i wewnętrzną architekturą QTS. Jak to jest w przypadku S - nie wiem, nie oglądałem, jak to jest w ich produktach rozwiązane.

Możesz sobie "na szybko" porównać ilość i kategorie znalezionych dziur w produktach QNAP i S, przy podobnie popularnych rozwiązaniach może to posłużyć do wyrobienia sobie opinii.
gdzie mozna to znaleźc i porównać? a problem w Qnapie dotyczy tylko QTS czy Hero też?
 
Popularność trzeba wziąć z opracowań, np.:
Top 5 products in the Data Storage Hardware market Network Attached Storage (NAS) Market Size, Share & Report, 2027

Z powyższych opracowań wynika, że S i QNAP mają w biznesie podobny udział (Tutaj warto poszukać opracowania dla interesującego cię segmentu, np. małych i średnich przedsiębiorstw.).

Potem porównujesz ilość dziur:
S : Products and vulnerabilities
Qnap : Products and vulnerabilities

Uwaga: musisz sobie pooglądać bliżej szczegóły, bo gdy interesują Cię NAS-y, to zwykle nieistotne będą dla ciebie np. dziury w routerach tej samej firmy (Najprawdopodobniej tworzą je zupełnie inne zespoły, korzystające z innych praktyk.):
S : Security vulnerabilities
Qnap : Security vulnerabilities

Możesz też sobie poczytać o metodyce "wyceny" podatności CVSS, żeby zbadać poszczególne ich aspekty - to już trochę bardziej zaawansowany aspekt:
What is CVE and CVSS | Vulnerability Scoring Explained | Imperva
 
  • Lubię to
Reakcje: Arecki87
że jeszcze Cię nie zeskanowali :D
Czyli kwestia czasu:)
Z trzech QNAPów ze stałym publicznym IP którymi zarządzam, dwa adresy w ogóle się nie znajdują na tej stronie. A trzeci adres mi pokazuje z informacją o otwartym porcie 80. I to niestety jest prawda, ale to taka polityka ISP, dają swój router, dla mnie w ogóle blokują dostęp (więc nawet nie mogę zmienić nazwy wifi, hasła etc) a jednocześnie otwierają do niego dostęp z zewnątrz na porcie 80.

Przy okazji pytanie: jak można najlepiej samemu "przeskanować" swoje porty aby sprawdzić co jest widoczne z zewnątrz?
 
Po zmianie reguł w QuFirewall (dopuszczenie 0.0.0.0) liczba blokad przez QuFirewall spadła do pojedynczych sztuk. Ale ostatniej nocy w ciągu godziny było ich ponad 1 tysiąc:
1642586956564.png


W QuFirewall mam ustawione automatyczne przechwytywanie przez 30 minut po przekroczeniu progu 30 eventów.
1642587066188.png


No i zapisał się plik, a w środku tylko trzy rekordy:
1642587190515.png


Chyba to trochę to dziwne, że tylko 3 próby tutaj się pojawiły?
Dodatkowe pytanie: port 6881, z tego co sprawdziłem rtorrent i download station. Tego pierwszego nie mam zainstalowane, drugie mam. Mam się czego obawiać?
Połączono posty:

Ale jak to zrobić pod Windowsem?
Ściągnąłem stąd Download the Free Nmap Security Scanner for Linux/Mac/Windows ale zarówno w GUI jak i w cmd pojawia się błąd:
1642588379539.png

1642588399210.png


Jakiś pomysł co jest nie tak?
 

Załączniki

  • 1642587174543.png
    1642587174543.png
    42 KB · Wyświetleń: 66
maks, jak kojarzę to Ty masz całkiem niezłą maszynę? zrób sobie VM z debian netinstall i będziesz miał świetnego linucha, z którego będziesz mógł pracować. 2c/4gb ramu, tylko instalacja konsoli, bez środowiska graficznego.
 
Ale wiesz jaki jest problem: brak wiedzy na temat linuxa:)
A prawdę mówiąc to chyba nawet niedawno testowo uruchomiłem ubuntu linux station aby zobaczyć co to jest. Ale mnie zmobilizowałeś, jak nie w tym to jakaś VM z linuxem i będzie można działać. Ale przygotuj się wtedy na dużo lamerskich pytań :)

A wracając do nmapa, to ponowna instalacja na Windowsie jakiejś starszej wersji dała rezultat. Tzn. narzędzie działa, ale jeszcze go nie rozgryzłem co jest co.
 
No dobra, to co to oznacza, że na porcie 6881 ktoś próbuje się do mnie dobić?
Bo od wczoraj od godzin porannych zdecydowany wzrost odrzuceń w QuFirewall.
1642799997365.png

W ostatnich 24 godzinach ponad 26tys!

W pcapach widać przeróżne adresy:
1642800049559.png
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. dostęp z zewnątrz
  2. USB Share
  3. zmiana portu
  4. eCh0raix Ransomware
  5. Truenas
  6. download station
  7. ech0raix
  8. qufirewall
  9. QuTS Cloud