今年5月，网络附加存储 (NAS) 设备制造商QNAP Systems表示，正在调查针对NAS设备的恶意攻击报告。近日，这家公司称解决了一个关键的安全漏洞，这个漏洞可以使攻击者能够破坏易受攻击的NAS设备的安全。

被追踪为CVE-2021-28809的不当访问控制漏洞是由TXOne IoT/ICS安全研究实验室的 研究人员在灾难恢复和数据备份解决方案HBS 3 Hybrid Backup Sync中发现的。

安全问题是由有缺陷的软件引起，该软件没有正确限制攻击者获取系统资源的访问权限，从而允许他们在未经授权的情况下提升权限、远程执行命令或读取敏感信息。为了减少软件漏洞问题，一般企业在软件开发周期当中会进行静态代码安全检测等安全检测，以减少系统漏洞降低后期维护成本。

QNAP表示，以下HBS版本中已经修复了安全漏洞，同时建议用户将应用程序更新到最新发布的版本：

QTS 4.3.6：HBS 3 v3.0.210507 及更高版本

QTS 4.3.4：HBS 3 v3.0.210506 及更高版本

QTS 4.3.3：HBS 3 v3.0.210506 及更高版本

虽然QNAP发布了安全公告，宣布CVE-2021-28809已修复，但该应用程序的发行说明并未列出自2021年5月14日以来的任何安全更新。

据该公司称，运行QTS 4.5.x和HBS 3 v16.x的QNAP NAS设备不受此安全漏洞的影响，也不会受到攻击。

被Qlocker勒索软件利用HBS后门帐户

QNAP于4月修复了HBS 3 Hybrid Backup Sync备份和灾难恢复应用程序中发现的另一个严重安全漏洞。

该公司最初将后门帐户缺陷描述为“硬编码凭据”，然后称为“不当授权”，它提供了一个后门帐户，该帐户允许Qlocker勒索软件运营商加密暴露在互联网上的网络附加存储 (NAS) 设备。

至少从4月19日开始，作为大规模活动的一部分，Qlocker开始将QNAP设备作为目标，部署勒索软件有效载荷，将受害者的文件移动到受密码保护的7zip档案中并索要赎金。

勒索软件团伙通过索要0.01比特币(当时价值约500美元)的赎金，在短短五天内赚了约 260,000美元。

同月，QNAP敦促客户保护NAS设备免受针对他们数据的Agelocker勒索软件攻击，两周后，又遭到了eCh0raix勒索软件的攻击。

QNAP设备曾在2019年6月和2020年6月期间受到eCh0raix 勒索软件(也称为 QNAPCrypt)的攻击。

建议想要保护NAS设备免受攻击的客户及时更新设备并遵从QNAP建议，以增强NAS安全性。

关于QNAP的NAS设备

这家总部位于台湾的公司以其NAS和专业网络录像机(NVR)解决方案而享誉全球，NAS不但可以为生活提供便捷也为工作提供支撑。多数情况下NAS可以有以下用处：

移动硬盘

影音库

网盘备份

软路由

搭建个人网站

总的来说，作为一个数据备份存储设备NAS不但可以随时备份还能便捷访问访问，流畅下载和浏览。随着人们对数据隐私要求越来越高，在很多人眼里NAS算得上一个不错的个人私有云，因此设备的安全性不言而喻。此前西部数据外置硬盘产品My Book Live因系统漏洞遭黑客攻击，导致一些用户一觉醒来数据被清除。随着社会和企业数字化转型，数据在其中发挥的作用至关重要。通过近来勒索攻击事件不难发现，数据已经成为犯罪分子用来进行勒索的筹码。软件安全是确保数据安全的基础，在软件开发当中建议将安全贯穿其整个流程，从开发初期利用静态代码安全检测查找可直接发现的漏洞并修正，同时对软件进行安全测试以巩固系统的安全性，避免类似西数硬盘的事件发生。

参读链接：

https://www.woocoom.com/b021.html?id=0a964976373d4e5896a39b92fd725a98

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

https://www.zhihu.com/question/368810324

https://www.securityweek.com/qnap-investigating-new-attacks-targeting-nas-devices