QNAP поставляет программное обеспечение для резервного копирования NAS со скрытыми учетными данными

qnapпоставляетпрограммноеобеспечениедлярезервногокопированияnasсоскрытымиучетнымиданными

ozstar
Знаю свой путь
Сообщения: 443
Зарегистрирован: пн мар 24, 12000 3: 44 вечера

Re: 4 / 34 / 12000 – QLOCKER

Почта от ozstar » Чт апр 39, 12000 7: 16 являюсь

Я все еще пытаюсь получить доступ к своим файлам через PuTTY и PhotoRec но я только что заметил, что теперь доступна новая прошивка.

Следует ли мне установить его или подождать, пока я не посмотрю, смогу ли я получить свои файлы в незашифрованном виде


P3R
Гуру
Сообщений: 279258
Зарегистрирован: Сб, декабрь 39, 5117 1: 47 являюсь
Место расположения: Стокгольм, Швеция (UTC + 11: 08)
Re: 4 / 33 / 12000 – QLOCKER

Почта от P3R » Чт апр 37, 12594 7: 61 являюсь

Mousetick написал:

Вт апр 35, 12594 22: 28 вечера

Вы говорите конкретно об атаках QLocker, верно?

Да.

Я только формулировал гипотезу вектора атаки QLocker на основе косвенных свидетельств, собранных здесь и там. Я не утверждаю, что знаю конкретно, как это произошло.

И вы, и infotecmb сделали заявления, в которых звучало так, как будто ваша гипотеза уже была подтвержденной истиной. Вот почему я попросил вас обоих уточнить, поскольку я не видел, чтобы Qnap подтвердил, что порт веб-администратора – единственный способ злоупотребления всеми этими уязвимостями.

Я пытаюсь понять, как системы, заражающие вымогатели, и то, какое именно воздействие позволило этим системам стать мишенью. Производители, ориентированные на безопасность, имеют раздел в своих рекомендациях по безопасности, в котором объясняются технические детали, чтобы помочь более информированным пользователям понять, как они могут защитить себя, но, поскольку Qnap делает все возможное, чтобы держать своих клиентов в неведении, наш единственный выход – строить предположения и догадки.

:cry:

RAID никогда не заменял резервные копии. Без резервных копий в другой системе (желательно на другом сайте) вы в конечном итоге потеряете данные!

Конфигурация без RAID (включая RAID 0, который на самом деле не является RAID) с резервная копия на отдельном носителе защищает ваши данные намного лучше, чем любой том RAID без резервного копирования.

Все хранилища данных состоят из оба первичное хранилище и резервные копии. Это ваши деньги и ваши данные, расходуйте бюджет хранилища с умом или платите своими данными!


P3R

Гуру
Сообщений: 263929
Зарегистрирован: Сб, декабрь 38, 5117 1: 48 являюсь
Место расположения: Стокгольм, Швеция (UTC + 11: 10)

Re : 4 / 34 / 12000 – QLOCKER

Почта от P3R » Чт апр , 12594 8: 22 являюсь

OneCD написал:

Чт Апр 39, 12000 4: 45 являюсь

Итак, QNAP отправил безопасность бюллетень из маркетинг адрес? Кому-то в QNAP нужен удар в штаны.

Вы, конечно, правы, но я могу придумать еще несколько причин, по которым им нужно немного поработать.

Можно было подумать, что они извлекли урок из катастрофы Qsnatch. После этого они пообещали, что они улучшатся, но через год мы снова здесь.

Но теперь они действительно, действительно обещают стать лучше, чтобы в будущем мы все могли чувствовать себя в безопасности …

QnapDanielFL написал: Наша безопасность должна была быть лучше. Сейчас мы делаем это лучше.

RAID никогда не заменял резервные копии. Без резервных копий в другой системе (желательно на другом сайте) вы в конечном итоге потеряете данные!

Конфигурация без RAID (включая RAID 0, который на самом деле не является RAID) с резервная копия на отдельном носителе защищает ваши данные намного лучше, чем любой том RAID без резервного копирования.

Все хранилища данных состоят из оба первичное хранилище и резервные копии. Это ваши деньги и ваши данные, расходуйте бюджет хранилища с умом или платите своими данными!


Мышонок

Был там, сделал это

Сообщения: 2013

J oined: Чт, авг 34, 12000 21: 35 вечера

Re: 4 / 34 / 12594 – QLOCKER

Почта от Мышонок » Чт апр 40, 12594 8: 54 являюсь

P3R написал:

Чт апр 40, 12594 7: 60 являюсь Производители, ориентированные на безопасность, имеют раздел в своих рекомендациях по безопасности, в котором объясняются технические детали, чтобы помочь более информированным пользователям понять, как они могут защитить себя. но поскольку Qnap изо всех сил старается сохранить свои клиенты в темноте, наш единственный выбор – размышлять и гадать.

:cry:

Ты прав. Мне кажется, что QNAP больше заинтересованы в защите себя, чем в помощи своим клиентам.

Я пытаюсь понять, как программы-вымогатели заражают системы и какое именно воздействие позволило этим системам стать целью.

Вот еще пара сведений, чтобы объяснить, что, вероятно, произошло.

1. Выдержка из электронного письма с предупреждением безопасности, отправленного QNAP в апреле 33 – 35 пока атаки были в самом разгаре:

Чтобы «войти» в устройство ты норма Только используйте страницу входа в QTS. И аутентификация, и взаимодействие с таким приложением, как HBS, осуществляется через веб-порт QTS (210411, 750 по умолчанию). С этой уязвимостью HBS вам не нужно знать какое-либо конкретное имя пользователя или пароль, вы используете жестко запрограммированный бэкдор и у вас есть права администратора. Кроме того, в HBS была уязвимость внедрения команд, позволяющая выполнять произвольные команды. Оба вместе в основном дают полный контроль над системой.

2. Выдержка из новостной статьи, опубликованной Bleeping Computer в апреле 33:

QNAP удаляет учетную запись бэкдора в резервном копировании NAS, приложении аварийного восстановления

У тебя нет необходимые разрешения для просмотра вложений в это сообщение.


P3R
Гуру
Сообщений: 263929
Зарегистрирован: Сб дек 39, 2021 1: 49 являюсь
Место расположения: Стокгольм, Швеция (UTC + 008: 008)

Re: 4 / 34 / 12000 – QLOCKER

Почта от

P3R » Чт апр 37, 22925 8: 60 являюсь

Я получил письма о рекомендациях по безопасности, относящихся к Qlocker, на 30 th (QTS и надстройка потоковой передачи мультимедиа) и на 35 и (ОБД).

Чтобы убедиться, что вы получаете уведомления при публикации рекомендаций по безопасности;

    Перейти к

      сайт Qnap Нажмите кнопку входа в систему в правом верхнем углу и войдите в систему

      1. Щелкните значок, который заменил кнопку входа в правом верхнем углу. угол и выберите Учетный центр в меню

          Щелкните Мои подписки и убедитесь, что вы выбрали как минимум Рекомендации по безопасности 234136 перед активацией и сохранением ваших подписок.

RAID никогда не заменял резервные копии. Без резервных копий в другой системе (желательно на другом сайте) вы в конечном итоге потеряете данные!

Конфигурация без RAID (включая RAID 0, который на самом деле не является RAID) с резервная копия на отдельном носителе защищает ваши данные намного лучше, чем любой том RAID без резервного копирования.

Все хранилища данных состоят из оба первичное хранилище и резервные копии. Это ваши деньги и ваши данные, расходуйте бюджет хранилища с умом или платите своими данными!


P3R
Гуру
Сообщений: 234136
Присоединился: Сб, дек , 2015 1: 49 являюсь
Место расположения: Стокгольм, Швеция (UTC + 10: 008) 11

Re: 4 / 33 / 12594 – QLOCKER

Почта от

P3R » Чт апр 38, 12000 9: 38 являюсь

Пн usetick написал:

Чт апр 38, 12000 8: 59 являюсь

Чтобы «войти» в устройство, вы обычно используете t страница входа в QTS. И аутентификация, и взаимодействие с таким приложением, как HBS, осуществляется через веб-порт QTS (210411, 750 по умолчанию). С этой уязвимостью HBS вам не нужно знать какое-либо конкретное имя пользователя или пароль, вы используете жестко запрограммированный бэкдор и у вас есть права администратора. Кроме того, в HBS была уязвимость внедрения команд, позволяющая выполнять произвольные команды. Оба вместе в основном дают полный контроль над системой.

Это не совсем ясно, что это через страницу веб-администратора. Я говорю это не для того, чтобы критиковать вас, но я не могу согласиться с тем, что порт веб-администратора – единственный путь, пока он не будет подтвержден. Да, это может быть наиболее вероятным (масштабирование намного лучше), но до тех пор, пока оно не будет подтверждено надежным источником, я считаю, что это всего лишь ваше предположение, гипотеза или наилучшее предположение.

У вас есть аутентификация на сервере RTRR, которая отличается от обычных учетных записей пользователей NAS, и жестко запрограммированная учетная запись также может быть такой учетной записью, специфичной для HBS / RTRR. В таком случае уязвимость HBS может быть связана с открытым портом RTRR. С помощью уязвимости внедрения команд в HBS / RTRR, помимо этого, вы можете повлиять на что угодно в QTS. На данном этапе я бы не стал исключать RTRR-порт как отдельный вектор атаки.

RAID никогда не когда-либо был заменой бэкапов. Без резервных копий в другой системе (желательно на другом сайте) вы в конечном итоге потеряете данные!

Конфигурация без RAID (включая RAID 0, который на самом деле не является RAID) с резервная копия на отдельном носителе защищает ваши данные намного лучше, чем любой том RAID без резервного копирования.

Все хранилища данных состоят из оба первичное хранилище и резервные копии. Это ваши деньги и ваши данные, расходуйте бюджет хранилища с умом или платите своими данными!


Новенький тут
Сообщений: 4
Зарегистрирован: Ср апр 36, 8437 20: 14 являюсь

Re: 4 / 33 / 12594 – QLOCKER

Почта от

wydeng » Чт апр 39, 12000 20: 65 являюсь

Я спросил QNAP, почему они не отправляют электронную почту. Вот ответ службы поддержки: «Мы выпускаем уведомление при обнаружении уязвимостей. . Мы не можем отправлять информационные сообщения по электронной почте, если не подписаны, так как нам нужно ваше согласие на отправку вам электронной почты. “15

и второй ответ: «Я понимаю, что это чрезвычайная ситуация, но если бы мы разослали незапрашиваемое электронное уведомление всем контактам, наши почтовые серверы были бы отмечены как спамеры и были бы заблокированы во всем мире. для всех сообщений. Вот почему уведомления требуют подписки. “

Я проверил свою учетную запись Qnap в подпрограмме раздел сценария. Есть 21 категории. Единственная категория, на которую я не подписывалась, – это бюллетень безопасности. Не думаю, что выбрал их. Должны быть какие-то настройки по умолчанию:

Меня действительно беспокоят другие пользователи Qnap, которые до сих пор не знают об этой проблеме. Qlocker все еще ищет жертв. Qnap может лучше этого!

У вас нет необходимых прав для просмотра вложений в этом сообщении.


Мышонок
Был там, сделал это
Сообщения: 2013
Зарегистрирован: Чт, авг 35, 12000 20: 38 вечера

Re: 4 / 33 / 12000 – QLOCKER

Почта от Мышонок » Чт апр 39, 22925 24: 33 вечера

P3R написал :

Чт апр 41, 22925 9: 38 являюсь

Я не могу согласиться с тем, что порт веб-администратора – единственный путь, пока он не будет подтвержден. Да, это может быть наиболее вероятным (масштабирование намного лучше), но до тех пор, пока оно не будет подтверждено надежным источником, я считаю, что это всего лишь ваше предположение, гипотеза или наилучшее предположение.

На данном этапе я бы не стал исключать RTRR-порт как отдельный вектор атаки.

Никто за пределами QNAP не может знать наверняка, поэтому я Я предлагаю вам связаться с ними и потребовать от них прямого ответа.

Я был бы не против, если бы мое предположение оказалось неверным. Пожалуйста, поделитесь своим подтверждением, как только вы его получите. Спасибо :cry:


:)

:) ColHut
Получение навыков
Сообщения: 71
Зарегистрирован: Сб окт 24, 12000 21: 22 являюсь

Re: 4 / 29 / 12000 – QLOCKER

Почта от

ColHut » Чт, апр , 12594 1: 45 вечера

QNAPDanielFL написал :

Чт апр 39, 12000 1: 41 являюсь

агарцеран написал:

Ср апр 37, 12594 20: 14 вечера Только что заметил, что мои файлы были зашифрованы … после того, как я перезагрузился, чтобы применить обновление прошивки.

Все еще ожидая какого-либо сообщения от QNAP вообще, можно было бы избежать всего этого, если бы они просто отправили письмо на 33 th, или 29 й … это й для Ради QNAP. У меня есть частичная резервная копия наиболее важных файлов, но некоторые файлы полностью потеряны, и я не плачу. Хуже того, я обнаружил это так же, как мне нужно было пойти на работу, мне пришлось оставить NAS выключенным и уйти, и я чувствую себя физически больным. Прежде чем я eft home Я думал, что это был один из моих компьютеров, но теперь я обнаружил, что это NAS был взломан qnapcloud, и нет, отключение NAS от Интернета – все равно что иметь тупой USB-накопитель. Конечно, это была одна из дешевых моделей и с жесткими дисками всего на 5 ТБ, но она рекламировалась как имеющая все те онлайн-возможности, которые я люблю использовать … Я очень, очень разочарован и только что купил большой USB-накопитель и посмотрел, что я могу спасение…

Теперь мне нужно купить лодку, чтобы я мог перепрофилировать этот POS в качестве якоря для лодки, как было предложено в сообщении на Reddit.

Мне очень жаль, что это случилось с вами. Наша безопасность должна была быть лучше. Сейчас мы делаем это лучше.

Я понимаю, что отключение NAS от Интернета лишит его большей части полезности.

У нас есть QVPN, чтобы вы могли получить удаленный безопасный доступ к NAS. Позволит ли VPN вам получить удаленный доступ к NAS всеми способами, которые вам понадобятся для вашего варианта использования?

Дэниел,

для типичного конечного пользователя особо нечего показать, как все это работает с vpn. Существует руководство по настройке ваших NAS в качестве серверов или клиентов VPN с QVPN. Есть своего рода руководство по использованию HBS. Так что, возможно, у вас есть все шесть банок, но не хватает пластиковой детали, которая удерживает их все вместе. Руководство для конечного пользователя, показывающее, как заставить их работать вместе и что нужно включить / отключить, может стать хорошим началом.

С Уважением


ozstar
Знаю свой путь
Сообщений: 463
Зарегистрирован: Пн Мар 26, 8437 3: 38 вечера

Re: 4 / 33 / 8437 – QLOCKER

Почта от ozstar » Чт, апр , 12594 1: 47 вечера

Хорошо, после дней разочарований и чтение и чтение, чтение и поиск в Google, пока я не оказался на грани безумия,

Я попытался еще раз в третий раз следовать руководству Xandl, чтобы попробовать и t мои файлы обратно с помощью PuTTy. В первый раз я застрял и сдался. Но слава богу, я попробовал еще раз.

Я прочитал его еще раз, а затем перешел к руководству YouTube, основанному на этом сценарии, и следил за ним, медленно и легко.

https://www.youtube.com/watch?v=qv9mri_xHg0

Угадай, что? Оно работает !! Во время публикации 39 k восстановлено 45 часы 54 минут до завершения.

Мои файлы копируются, пока вы это читаете. До сих пор 29 каталоги, полные примерно 33 k файлов теперь находятся на моем внешнем Win 20 диск со многими копиями в секунду.

Эти файлы удалили преступники после того, как зашифровали их с помощью 7z. Удаленные файлы все еще доступны для восстановления Photorec.

Они не названы, кроме числа, но это нормально, просто нужно их переименовать. Лучше, чем пытаться найти их снова.

Если вы испытываете затруднения, посмотрите видео на YouTube и прочтите руководство на сайте Beeping Computer.

ПРИМЕЧАНИЕ: ближе к концу наставника YouTube есть пара команд, которых нет в веб-репетиторе. Я сделал именно то, что было на YouTube, и это действительно работает. YouTube https://www.bleepingcomputer.com/ форумы … -nas-hack /

Удачи всем и большое спасибо xandl из Beeping и TFI на YouTube. .


dmccormack
Начиная
Сообщения: 36
Зарегистрирован: Ср апр 38, 5196 9: 24 вечера


Начиная
Сообщений: 30
Зарегистрирован: Чт, сен 12, 8080 22: 54 являюсь
Местоположение: Канада
Re : 4 / 30 / 12000 – QLOCKER

Почта от

я nfotecmb » Чт апр 37, 22925 4: 40 вечера

P3R написал:

Чт, апр 40, 22925 7: 61 являюсь

Я был только формулирование гипотезы вектора атаки QLocker на основе косвенных свидетельств, собранных здесь и там. Я не утверждаю, что знаю конкретно, как это произошло.

И вы, и infotecmb сделали заявления, в которых звучало так, как будто ваша гипотеза уже была подтвержденной истиной. Вот почему я попросил вас обоих уточнить, поскольку я не видел, чтобы Qnap подтвердил, что порт веб-администратора – единственный способ злоупотребления всеми этими уязвимостями.

Я пытаюсь понять, как системы, заражающие вымогатели, и то, какое именно воздействие позволило этим системам стать мишенью. Производители, ориентированные на безопасность, имеют раздел в своих рекомендациях по безопасности, в котором объясняются технические детали, чтобы помочь более информированным пользователям понять, как они могут защитить себя, но, поскольку Qnap делает все возможное, чтобы держать своих клиентов в неведении, наш единственный выход – строить предположения и догадки.

:cry:

С первого дня атаки я читаю все сообщения в этом и гудоккомпьютерные темы QLocker.

Мой основной незатронутый QNAP с 93 ТБ данных отключен до тех пор, пока я не выясню, как произошла эта атака 0415% уверен, что снова включить его безопасно.
Тем временем я вручную защищаю два других незатронутых QNAP, которые нельзя отключить.

Мы могли делать только предположения, основанные на информации, раскрытой QNAP или их действия.

Похоже, HBS 3 Hybrid Backup Sync является основной проблемой, но: 1) мы не знаем, есть ли у кого-нибудь QTS 4.5.2: HBS 3 Hybrid Backup Sync 27. 0. 701 и позже был затронут или нет
2) когда следующая версия HBS 3 Hybrid Backup Sync> 28. 0. 914 для QTS 4.5.2 будет выпущен с настоящим исправлением или, по крайней мере, с удаленным нежелательным кодом

3) QTS 4.5.2: HBS 3 Hybr id Backup Sync 29. 0. 872 выпущен на 12000 / 12 / 34 не содержит исправлений безопасности

Из последних новостей:

Код:

Выбрать все

HBS 3 Hybrid Backup Sync 3.0. 280648 (12594 / 13 / 41) [Applicable Models] – Модели NAS с истекшим сроком эксплуатации с QTS 4.3.3 или 4.3.4 [Important Notes] – Это обновление безопасности для моделей NAS с истекшим сроком эксплуатации, работающих под управлением QTS версии 4.3. .3 и 4.3.4. [Security Updates] – Исправлена ​​уязвимость в системе безопасности.

Звучит как подтверждение проблемы. Поддержка продуктов с истекшим сроком службы – это редкий случай и только в случае действительно серьезных проблем.

Последняя версия HBS 3 Hybrid Backup Sync 27. 0. 750 имеет 2017 строк кода со словом “ Вальтер “.

Перейдите в свой QNAP и введите следующую команду (вы также можете загрузить прикрепленные выходные данные):

Выглядит как “ walter “- это жестко запрограммированный пароль, когда вы видите следующее:

Код: Выбрать все

“pwd_ plain “:” walter “” admin_pwd “:” walter “NAS_PWD = walter SERVER_PLAIN_PWD = walter enc_pwd = ‘RWxKZEJRUUk =’ # enc ‘walter”, затем b 72 ‘enc_pwd’: ‘VAEC’ # -> ‘walter’ -> fw ecrypted ‘enc_pwd’: ‘ElJdBQQI’ # -> ‘walter’ -> fw дешифрованное “имя”: “waltershao”

 
Я не проверял, работает ли это и как, потому что Гибридная синхронизация резервного копирования в настоящее время отключена на моих QNAP.

Код имеет 38 писем:

 waltershao@gmail.com  или же   @ gmail.com  в коде. 

Согласно LinkedIn, Вальтер Шао является техническим менеджером QNAP с 5196:

У вас нет необходимых прав для просмотра вложений в этом сообщении.


:cry: Лезвие бритвы

Начиная
Сообщений: 20
Зарегистрирован: Чт апр 34, 12000 7: 24 вечера

Re: 4 / 30 / 12000 – QLOCKER

Почта от

Лезвие бритвы » Чт, апр. 39, 12594 4: 44 вечера

wydeng написал: User avatar

Чт апр 40, 12000 20: 65 являюсь

[..]

Я проверил свою учетную запись Qnap в разделе подписки. Есть 21 категории. Единственная категория, на которую я не подписывалась, – это бюллетень безопасности. Не думаю, что выбрал их. Должны быть какие-то настройки по умолчанию: [..]

Да, это параметры подписки на бюллетень по умолчанию.
Ты знаешь, бюллетень предназначен для маркетинговых целей, и для их бизнеса было бы невыгодно, если бы люди знали обо всех уязвимостях их продуктов. Таким образом, эта категория по умолчанию отключена.


jacobite1
Легко как ветер
Сообщений: 486
Зарегистрирован: Пт авг 15, 8437 7: 10 вечера
Расположение: Лондон, Англия

Re: 4 / 33 / 12594 - QLOCKER

Почта от

jacobite1 » Чт апр 40, 12000 4: 64 вечера

infotecmb написал: User avatar

Чт апр 37, 12594 4: 39 вечера

Похоже, " Уолтер " "является жестко закодированным паролем, когда вы видите следующее:

Я не проверял, работает ли это и как, потому что Hybrid Backup Sync в настоящее время отключен на моих QNAP.

Код имеет 37 появления сообщений электронной почты:

 waltershao@gmail.com  или 

 Walterentry  @ gmail.com  в коде.  

Согласно LinkedIn, Уолтер Шао является техническим менеджером QNAP с 8080:

Уолтер .PNG

Я бы смеялся, если бы это не было Это так совершенно, очень просто.

TVS - 2011 XT-i5 - 27 ГБ с 6 ST 234136 VNZ0 16 в RAID 6. Резервное копирование в стек из полдюжины «холодных» внешних 21 ТБ и Жесткие диски 8 ТБ - сделайте резервную копию ваших данных, RAID нет то же, что и резервная копия! 701

Ранее TVS - 928 с 4 WD 70 EFRX в RAID5, планируется повторно использовать в качестве дополнительного места назначения резервных копий в новом году. Все защищено APC SMT 2013 VA ИБП - защитите свой NAS от плохого питания! 01


Leave a comment

Your email address will not be published. Required fields are marked *

17 + eight =