상세 컨텐츠

본문 제목

QNAP, 재해 복구 프로그램에서 치명적인 취약점 수정해

국내외 보안동향

by 알약4 2021. 7. 6. 14:00

본문

 

 

QNAP fixes critical bug in NAS backup, disaster recovery app

 

대만의 NAS 제조업체인 QNAP이 공격자가 취약한 NAS 기기를 해킹하는데 악용할 수 있는 치명적인 보안 취약점을 수정했습니다.

 

TXOne IoT/ICS Security Research Labs의 연구원인 Ta-Lun Yen이 발견한 부적절한 접근 제어 취약점은 CVE-2021-28809으로 등록되었으며, QNAP의 재해 복구 및 데이터 백업 솔루션인 HBS 3 Hybrid Backup Sync에 존재합니다.

 

이 보안 취약점은 소프트웨어에서 공격자가 시스템 리소스에 대한 접근 권한을 얻는 것을 적절히 제한하지 못했기 때문에 발생합니다. 이로써 권한 상승, 원격 명령 실행, 권한 없이 중요한 정보 읽기 등을 허용할 수 있습니다.

 

QNAP은 다음 HBS 버전에서 해당 보안 취약점이 이미 수정되었다고 밝히며, 고객에 프로그램을 최신 버전으로 업데이트할 것을 권고했습니다.

 

QTS 4.3.6: HBS 3 v3.0.210507 및 이후 버전

QTS 4.3.4: HBS 3 v3.0.210506 및 이후 버전

QTS 4.3.3: HBS 3 v3.0.210506 및 이후 버전

 

QNAPCVE-2021-28809 취약점이 수정되었다고 알리는 보안 권고를 게시했지만, 해당 앱의 릴리즈 노트에는 2021514일 이후의 보안 업데이트가 게시되지는 않은 상태입니다.

 

회사에 따르면, HBS 3 v16.xQTS 4.5.x를 실행하는 QNAP NAS 기기는 이 보안 취약점의 영향을 받지 않으며, 공격에 노출되지 않습니다.

 

HBS 백도어 계정, QLocker 랜섬웨어에 악용돼

 

지난 4, QNAPHBS 3 Hybrid Backup Sync 백업 및 재해 복구 프로그램에서 발견된 또 다른 치명적인 보안 취약점을 수정했습니다.

 

회사는 이 백도어 계정 취약점에 대해 초기에는 하드코딩된 크리덴셜이라 밝혔다가, 이후 Qlocker 랜섬웨어가 인터넷에 노출된 NAS 기기를 암호화하도록 허용한 백도어 계정을 제공한 부적절한 인증이라 설명했습니다.

 

Qlocker는 지난 419일부터 대규모 캠페인을 통해 QNAP 기기를 노려, 피해자의 파일을 암호로 보호된 7zip 파일로 압축하고 랜섬머니를 요구하는 랜섬웨어 페이로드를 확산시켰습니다.

 

이들은 당시 약 500달러 상당인 0.01 비트코인을 요구했으며, 5일만에 약 26만 달러를 벌어들였습니다.

 

여러 공격으로부터 NAS 기기를 보호하기 위해서는 모범 사례를 따를 것을 권장합니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

관련글 더보기

댓글 영역