QNAP

QNAP NAS在野漏洞攻击事件2

背景介绍 2021年3月2号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020-2506 & CVE-2020-2507),获取到系统root权限并进行恶意挖矿攻击。 我们将此次挖矿程序命名为UnityMiner,值得注意的是攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面看到系统异常行为。 2020年10月7号,QNAP Systems, Inc.公司发布安全公告QSA-20-08[1],并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。 目前,互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息,由于该漏洞威胁程度极高,为保护尚未修复漏洞的QNAP NAS用户,

  • Ma Yanlong
    Ma Yanlong
  • Genshen Ye
    Genshen Ye
6 min read
QNAP

QNAP NAS在野漏洞攻击事件

本文作者:马延龙,叶根深,金晔 背景介绍 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAP NAS用户,避免受到此类漏洞攻击。 漏洞分析 漏洞类型: 未授权远程命令执行漏洞 漏洞原因: 通过360 FirmwareTotal系统分析,我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,

  • Genshen Ye
    Genshen Ye
  • jinye
    jinye
5 min read