باج‌افزار در دستگاه‌های QNAP (کیونپ) فایل‌های حیاتی شرکت‌ها را تهدید می‌کند

موج جدیدی از حملات باج افزاری علیه دستگاه‌های NAS کیونپ کشف شد

اخیرا، موج جدیدی از حملات باج‌افزاری خطرناک علیه دستگاه‌های NAS ساخت شرکت کیونپ، راه افتاده است.

شرکت QNAP System Inc. از تولیدکنندگان تجهیزات شبکه و دستگاه‌های حافظه است. این شرکت تایوانی، فعالیت خودش را از سال ۲۰۰۴ شروع کرد و در حال حاضر، به طور تخصصی، در زمینه تولید دستگاه‌های حافظه متصل به شبکه (Network-attached storage) یا به اختصار NAS کار می‌کند. دستگاه‌های NAS برای به اشتراک‌گذاری فایل، مجازی‌سازی، مدیریت حافظه و کارهای نظارتی، مورد استفاده قرار می‌گیرند.

در اینجا قصد داریم ضمن معرفی دستگاه‌های NAS ساخت شرکت QNAP، در رابطه با آسیب‌پذیری‌های این دستگاه‌ها نیز صحبت کنیم. با سایبرنو همراه باشید.

معرفی مختصر شرکت QNAP

QNAP در ابتدا، فقط واحدی از شرکت تایوانی IEI Integration بود که در زمینه ارائه خدمات رایانش صنعتی فعالیت دارد. در سال ۲۰۰۴، شرکت QNAP Systems Inc. به عنوان شرکتی مستقل، ثبت شد.

محصول اصلی این شرکت، دستگاه‌های NAS است. این شرکت، دستگاه‌های ضبط ویدئو شبکه (NVR) و مجموعه‌ای از تجهیزات شبکه را تولید می‌کند.

لیست محصولات شرکت QNAP به شرح زیر است:

• NAS
• QTS (سیستم عامل دستگاه‌های NAS)
• QES (حافظه تجاری QNAP)
• QuTS hero (سیستم عامل مشابه QTS که ZFS را اجرا می‌کند)
• QuTScloud
• QNE
• QSS
• QuRouter
• QNAP QHora-301W که از وای-فای ۶ پر سرعت و اتصالات 10GbE پشتیبانی می‌کند. به علاوه، این محصول، SD-WAN VPN سطح تجاری برای گسترش VPN به چندین سایت از طریق فضای ابری را نیز فرآهم می‌آورد.

مهم‌ترین دستاوردهای شرکت QNAP

• قرار گرفتن در فهرست ۵۰ محصول فناورانه برتر سال ۲۰۱۳ در سطح جهان
• دریافت جایزه طراحی محصول iF در سال ۲۰۱۴
• دریافت گواهینامه ISO 27001:2003 در مدیریت امنیت ارتباطات در سال ۲۰۱۴
• دریافت جایزه COMPUTEX Best Choice در سال ۲۰۱۶
• انتخاب دستگاه TS-451+ به عنوان بهترین دستگاه NAS و دریافت جایزه سخت‌افزارهای اروپایی در سال ۲۰۱۷
• دریافت جایزه COMPUTEX Best Choice در سال ۲۰۱۸
• معرفی محصول TS-1677X به عنوان بهترین دستگاه NAS و دریافت جایزه سخت‌افزارهای اروپایی در سال ۲۰۱۹

آشنایی با دستگاه‌های NAS

دستگاه حافظه متصل به شبکه یا NAS (خلاصه شده عبارت Network-Attached Storage) نوعی حافظه ذخیره‌سازی فایل است که به تعدادی از کاربران و دستگاه‌های کلاینت ناهمگن امکان بازیابی داده‌ها از حافظه دیسک مرکزی را می‌دهد. کاربران روی شبکه LAN، از طریق اتصال اترنت استاندارد به حافظه‌ای مشترک، دسترسی دارند.

این دستگاه‌ها معمولا کیبورد یا صفحه نمایش ندارند و با استفاده از از نرم‌افزاری بر پایه مرورگر، کانفیگ می‌شوند. هر دستگاه NAS به صورت گره‌ای مستقل، روی شبکه LAN قرار دارد و با آدرس IP مخصوص خودش تعریف می‌شود.

از مهم‌ترین ویژگی‌های دستگاه‌های NAS که سبب محبوبیت آن‌ها شده است، می‌توان به سهولت دسترسی، ظرفیت بالا و هزینه پایین اشاره کرد. به علاوه، این دستگاه‌ها از تسک‌های ابری مختلفی پشتیبانی می‌کنند.

دستگاه‌های NSA و دستگاه‌های شبکه ذخیره‌سازی (SANs)، دو نوع حافظه‌ شبکه‌ای هستند. NAS با داده‌های بدون ساختار، مثل داده‌های صوتی، ویدئویی، وبسایت‌ها، فایل‌های متنی و اسناد مایکروسافت آفیس کار می‌کند اما دستگاه‌های SANs عمدتا برای حافظه بلاکی درون پایگاه‌های داده که به آن‌ها داده‌های ساختارمند گفته می‌شود، طراحی شده‌اند.

از حافظه‌های متصل به شبکه برای چه مقاصدی استفاده می‌شود؟

هدف دستگاه‌های NAS، کمک به کاربران برای همکاری و به اشتراک‌گذاری داده‌ها به شیوه‌ای مؤثرتر است. تیم‌های پراکنده که نیازمند دسترسی از راه دور هستند یا اعضای آن‌ها در ناحیه‌های زمانی مختلف کار می‌کنند، می‌توانند از این دستگاه‌ها، بهره‌مند شوند. دستگاه‌های NAS به روترهای وایرلس متصل شده و تیم‌های دورکار می‌توانند به راحتی با استفاده از یک دستگاه موبایل یا یک کامپیوتر متصل به شبکه، به فایل‌های روی این حافظه‌ها، دسترسی داشته باشند.

شرکت‌هایی که شبکه‌های داخلی دارند یا از فضای ابری مخصوص به خود استفاده می‌کنند، می‌توانند از دستگاه‌های NAS بهره‌مند شوند.

بعضی از دستگاه‌های NAS برای استفاده در سازمان‌های بسیار بزرگ طراحی شده‌اند اما بعضی دیگر، دستگاه‌هایی خانگی یا اداری هستند و در کسب و کارهای کوچک مورد استفاده قرار می‌گیرند. این دستگاه‌ها، معمولا دارای حداقل دو قفسه درایو هستند اما NASهای تک قفسه‌ای نیز برای ذخیره‌سازی داده‌های غیر حساس، تولید می‌شوند.  دستگاه‌های تجاری، قابلیت‌های پیشرفته‌تری برای مدیریت حافظه دارند و معمولا، دارای حداقل ۴ قفسه درایو هستند. پیش از اختراع دستگاه‌های NAS، سازمان‌ها از فایل سرورها استفاده می‌کردند.

بسیاری از تولید کنندگان دستگاه‌های NAS مثل شرکت کیونپ، با تأمین‌کنندگان حافظه‌های ابری، مثل شرکت‌های ارائه‌دهنده خدمات VoIP همکاری می‌کنند تا خدمات بهتری به مشتریان، ارائه دهند.

با اینکه تأمین حافظه ابری و و امکان همکاری از راه دور، ویژگی بسیار خوب دستگاه‌های NAS است اما می‌تواند مشکلاتی نیز ایجاد کند. حافظه‌های متصل به شکل به هاردهای HDD برای ذخیره‌سازی داده‌ها متکی هستند. زمانی که تعداد تقاضاها از سمت کاربران شبکه برای اتصال به حافظه NAS خیلی زیاد باشد، ممکن است اتصال خروجی/ورودی (I/O) ایجاد شود. سیستم‌های جدیدتر از حافظه‌های SSD در کنار حافظه‌های HDD استفاده می‌کنند و حتی سیستم‌هایی تولید می‌شوند که فقط حافظه SSD دارند.

موارد استفاده و مثال‌هایی از کاربرد NAS

اپلیکیشن‌های مورد استفاده، نوع HDD انتخاب شده برای دستگاه NAS را مشخص می‌کند. به اشتراک‌گذاری فایل‌های مایکروسافت آفیس با همکاران، کاری روتین و ساده است. در مقابل، استفاده از NAS برای کار کردن با حجم‌های زیادی از داده‌های چندرسانه‌ای، نیازمند ظرفیت‌های بالاتر، حافظه بیشتر و توان پردازشی شبکه‌ای بیشتری است.

کاربران خانگی از سیستم‌های NAS برای ذخیره‌سازی و کار کردن با فایل‌های چندرسانه‌ای و نیز برای پشتیبان‌گیری خودکار، استفاده می‌کنند. به طور کلی، می‌توان گفت که مهم‌ترین کاربردهای سیستم‌های NAS برای کاربران خانگی به شرح زیر است:

• مدیریت حافظه تلویزیون‌های هوشمند
• مدیریت سیستم‌های امنیتی و آپدیت‌های امنیتی
• مدیریت سیستم‌های اینترنت اشیاء (IoT)
• ایجاد یک سرویس پخش فایل‌های چندرسانه‌ای
• مدیریت فایل‌های تورنت
• میزبانی یک سرویس ابری شخصی
• ساخت، تست و توسعه وبسایت شخصی

از مهم‌ترین کاربردهای تجاری NAS می‌توان به موارد زیر اشاره کرد:

• پشتیبان‌گیری و بایگانی
• تست و توسعه اپلیکیشن‌های تحت وب و سمت سرور
• میزبانی اپلیکیشن‌های پیام‌رسان
• میزبانی اپلیکیشن‌های تحت سرور و منبع-باز مثل اپلیکیشن‌های مدیریت رابطه با مشتری، مدیریت منابع انسانی و برنامه‌ریزی منابع سازمانی
• سرویس‌های ایمیل، اشتراک‌گذاری فایل‌های چندرسانه‌ای، پایگاه‌های داده و ...

آسیب‌پذیری‌های سیستم‌های QNAP NAS

با اینکه دستگاه‌های NAS کیونپ، آسیب‌پذیری‌های امنیتی زیادی دارند اما شرکت کیونوپ، به موقع به این آسیب‌پذیری‌ها واکنش نشان نمی‌دهد و برای آن‌ها، پچ‌های امنیتی منتشر نمی‌کند. برای مثال، در سال ۲۰۲۰، گروه امنیتی SAM متوجه شد که مهاجمان توانسته‌اند در کوتاه‌ترین زمان ممکن، کنترل یکی از دستگاه‌های NAS ساخت این شرکت را در اختیار بگیرند. پس از اینکه این موضوع به شرکت QNAP گزارش شد، ۵ ماه طول کشید تا این شرکت تایوانی، به آسیب‌پذیری کشف شده، رسیدگی کند و این مدت، برای عمومی شدن آسیب‌پذیری یافت شده کافی بود.

در آوریل ۲۰۲۱، آسیب‌پذیری‌های مهمی مثل نگهداری گذرواژه‌های هاردکد ادمین در سخت‌افزار و نصب‌شدن اجباری یک نسخه آسیب‌پذیر از یک اپلیکیشن تهیه فایل پشتیبان، منجر به حمله باج‌افزاری گسترده‌ای به نام Qlocker شد. این باج افزار، تمامی فایل های کوچکتر از ۲۰ مگابایت را با استفاده از 7-Zip به فایل‌های 7z دارای گذرواژه‌ای ۳۲ کاراکتری تبدیل و برای ارائه گذرواژه به قربانی، ۰/۰۱ بیت کوین طلب می‌کرد. این باج افزار، خسارتی ۳۰۰ هزار دلاری به کاربران دستگاه‌های NAS کیونپ، وارد کرد.

جزئیات حمله باج‌افزاری Qlocker

در تاریخ ۱۶ آوریل ۲۰۲۱، شرکت QNAP اعلام کرد که دو آسیب‌پذیری زیر را برطرف کرده است:

• CVE-2020-2509: آسیب‌پذیری تزریق دستور در محصولات QTS و QuTS hero
• CVE-2020-36195: آسیب‌پذیری تزریق SQL که در دستگاه QNAP NAS

در تاریخ ۲۲ آوریل ۲۰۲۱، این شرکت اعلام کرد که آسیب‌پذیری CVE-2021-28799 را نیز برطرف کرده است. این آسیب‌پذیری، نوعی احراز هویت نادرست است که در سیستم‌های NAS کیونپ وجود داشت.

شرکت کیونپ در ابتدا بر این باور بود که این عملیات باج افزاری، از آسیب‌پذیری CVE-2020-36195 برای دسترسی به دستگاه‌های NAS متصل به اینترنت استفاده کرده و داده‌های کاربران را قفل کرده است اما بعدا مشخص شد که مهاجمان در حمله Qlocker، از CVE-2021-28799 استفاده کرده‌اند.

در هر صورت، مهاجمان توانستند هزاران دستگاه متعلق به مشتریان کوچک-مقیاس تا مشتریان دارای مقیاس متوسط را آلوده کرده و داده‌های درون آن‌ها را قفل کنند. مشخص شد که بیش از ۵۰۰ قربانی، مبلغ خواسته شده را پرداخت کرده‌اند تا فایل‌های آن‌ها، رمزگشایی شوند.

بعضی از قربانیان خوش‌‌شانس بودند که پژوهشگر معروف حوزه امنیت، جک کیبل (Jack Cable) برای بازیابی فایل‌ها به آن‌ها کمک کرد تا فایل های 7-Zip را بدون نیاز به گذرواژه، باز کنند. متأسفانه، روش جک کیبل خیلی دوام نیاورد و مهاجمان توانستند جلوی عملیات او را بگیرند.

جدیدترین حمله باج‌افزاری به دستگاه‌های NAS کیونپ

در تاریخ ۱۹ دسامبر ۲۰۲۱، موج جدیدی از حملات باج‌افزاری به نام eCh0raix علیه دستگاه‌های QNAP NAS آغاز شد. مهاجمان توانستند یک حساب کاربری در گروه ادمین دستگاه بسازند و تمامی فایل‌های روی سیستم NAS را رمزنگاری کنند. هنوز مشخص نیست که مهاجمان از کدام آسیب‌پذیری برای این کار استفاده کرده‌اند.

در اکثر موارد، مهاجمان، فایل‌های عکس‌ها و اسناد را رمزنگاری کرده و یادداشت باج‌افزار را با فرمت .TXTT بر جای گذاشتند. همه قربانیان، نرم‌افزار مورد نیاز برای خواندن این فایل را نداشتند و دچار مشکل شدند.

مقدار باج، دقیقا مشخص نبود اما معمولا مهاجمانی که از باج افزار eCh0raix استفاده می‌کنند، بین ۰/۰۲۴ تا ۰/۰۶ بیت کوین، باج می‌گیرند تا رمزگشایی را انجام دهند. این مبلغ، در حال حاضر بین ۱۲۰۰ تا ۳۰۰۰ هزار دلار است.

نرم‌افزاری رایگان برای رمزگشایی فایل‌های رمزنگاری شده توسط eCh0raix موجود است اما فقط برای نسخه‌های قدیمی این باج‌افزار، جواب می‌دهد. در حال حاضر، برای نسخه‌های جدیدتر eCh0raix (نسخه ۱.۰.۵ و نسخه ۱.۰.۶)، هیچ نرم‌افزار رایگانی وجود ندارد.

برای اینکه دستگاه‌های NAS کیونپ را ایمن نگه دارید، می‌توانید از دستورالعمل‌های ارائه شده توسط خود شرکت کیونپ، پیروی کنید.

دستورالعمل‌های QNAP برای افزایش ایمنی دستگاه‌های NAS

۱- حساب‌های کاربری ناشناس یا مشکوک را حذف کنید.

۲- اپلیکیشن‌های ناشناس یا مشکوک را حذف کنید.

۳- تنظیمات روتر خودکار را غیر فعال کرده و کنترل‌های دسترسی دستگاه‌ها را در myQNAPcloud تنظیم کنید.

۴- از باز کردن شماره‌های پورت پیشفرض به اینترنت، خودداری کنید.

۵- جدیدترین نسخه ضد بدافزار را نصب و اجرا کنید.

۶- گذرواژه‌های تمامی حساب‌های کاربری را تغییر دهید.

۷- اپلیکیشن‌های QTS را به آخرین نسخه‌های موجود، به روز رسانی کنید.

۸- QTS را به آخرین نسخه موجود به روز رسانی کنید.

۹- QuFirewall را نصب کنید.