最近台湾のハードウェアメーカーであるQNAPは、脆弱なパスワードによってインターネットに 公開されたQNAP NAS(ネットワークアタッチドストレージ)のデバイスを対象にする総当たり攻撃(Brute-force)に使用される悪性サーバーを除去し、攻撃を成功的に防ぎました。
QNAPは、QNAPのデバイスに内蔵されたファイアウォール「QuFirewall」で数百のゾンビネットワークのIPアドレスを7時間以内に無事ブロックし、48時間以内にはソースC&C(Command&Control)サーバーを特定しました。幸い、迅速な対応でインターネットに公開された複数のQNAP NASのデバイスが追加攻撃から守られました。
外部に 公開されたQNAP NASのデバイス探し
公開されたQNAP NASのデバイスを狙う総当たり攻撃は定期的に発生しています。しかも、総当たり攻撃に成功した場合はランサムウェアの攻撃につながることもあります。幸い、最近の攻撃はQNAPの迅速な対応で緩和されましたが、攻撃者のターゲットになる公開されたNASデバイスは未だに残っています。
検索エンジンCriminal IPのIT資産検索にproductフィルターを利用すると、インターネットに繋がっているQNAPサーバーを見つけることができます。
Search Query: “product:QNAP”
検索結果、公開されたQNAP NASのデバイスを稼働しているサーバーが5万7千台以上発見されました。
むろん、すべてのサーバーが総当たり攻撃やランサムウェアにさらされている状態ではありませんが、攻撃者は攻撃対象を見つけ出すために一番最初に外部に公開されたNASデバイスを探すでしょう。このようなサーバーの中で脆弱なパスワードを使っているサーバーは、総当たり攻撃で情報を乗っ取られたり、ランサムウェアで金銭的な被害を受けるかもしれません。
公開されたQNAPデバイスの国統計はドイツが約6,700件で最も多いと示し、イタリアと台湾がその次にランクされました。
QNAPではなくても外部に公開されているすべてのNASサーバーは、簡単に攻撃者のターゲットになります。NASは主に、敏感なファイルをバックアップするか共有するに使用されるため、重要なドキュメントを盗んだり、暗号化したり、情報を乗っ取るマルウェアを仕掛ける目的とした攻撃の対象になる可能性があります。
依然として脆弱なQNAP NASサーバー
検索された公開QNAP NASサーバーの中では、攻撃者のターゲットになりうる危険な状態のサーバーが非常に多いです。QNAPによる攻撃者ブロックで最近発生した脅威は緩和されましたが、攻撃者はいつでも他の方法で攻撃を試みることができます。
以下のIT資産検索レポートは、QNAP NASのデバイスが稼働されているIPアドレスのレポートです。
合計7個のオープンポートがあり、21番のポートでQNAP NASのデバイスを稼働しています。そして、22番のポートが開放されているまま複数の脆弱性を保有しています。このように脆弱性が現れたまま運営されるIPアドレスのデバイスは特に攻撃者のターゲットになる可能性が高いです。
最近、QNAPを対象にする攻撃以外にも、NASサーバーに対する攻撃は続いています。また別のNASメーカーであるSynologyもStealthWorkerボットネットによる総当たり攻撃に対して顧客に警告していて、それによってランサムウェアの感染が発生しかねることを認識し、管理に注意を払うように勧告しています。
QNAPは、NASデバイスを安全に保護するためにデフォルトのアクセスポート番号を変更し、ルーターのポートフォワーディング及びNASのUPnP無効化を勧告します。そして、アカウントに対する強力なパスワード設定、パスワードポリシーの実現、管理者アカウントの無効化などの対応を施行するよう促しました。
また、NASを利用するすべての企業と機関はこのようなメーカーの勧告に従い、同時にCriminal IP検索エンジンまたは、Criminal IP ASMの攻撃対象領域管理を活用してデバイスが外部に公開されているかを常に管理しなければなりません。
関連してCisco IOS XEのゼロデイ脆弱性にさらされている56,000以上の漏洩されたデバイスの検知ケースをご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
