QNAP裝置成肉票3/紅隊演練中發現漏洞 專家:VPN可降低勒索機率

如梭世代技術經理Shirley透露,團隊在一次紅隊演練中,發現威聯通的NAS有漏洞,除了立即通知威聯通以外,還在威聯通釋出更新檔後通報刑事局。(圖/馬景平攝)
如梭世代技術經理Shirley透露,團隊在一次紅隊演練中,發現威聯通的NAS有漏洞,除了立即通知威聯通以外,還在威聯通釋出更新檔後通報刑事局。(圖/馬景平攝)

本刊調查,資安公司「如梭世代」(ZUSO)去年替企業進行「紅隊演練」(模擬駭客入侵攻擊)時,就無意間發現威聯通NAS疑似有安全問題,研究了兩個月,終於發現產品的「HBS」(Hybrid Backup Sync,一種用戶進行備份、刪除和還原的軟體)內,存在1個漏洞。

如梭世代的技術經理Shirley指出,該漏洞不需要任何帳號權限,只要能在網路中接觸設備就可以在主機內執行任意代碼,甚至可以撈到使用者的密碼等,「這個漏洞被『漏洞評分系統CVSS』(Common Vulnerability Scoring System)評為最高級的10.0分。」

確定漏洞確實存在後,如梭世代除了在3月17日通知威聯通進行修補,也遵循國際的「負責任披露規則」(ResponsibleDisclosure Policy),在威聯通釋出更新檔後,通報刑事局,希望透過官方管道同步讓國際刑警組織知悉,善盡社會責任。

Shirley指出,安全與便利本是一體兩面,在兩者間取得平衡是大家共同努力的目標,「建議用戶除了定期更新外,也可以讓設備減少對外暴露,例如透過VPN(虛擬私人網路)連線內網存取裝置,就可以大幅降低類似事件發生。」

香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)
香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)

看更多 CTWANT 文章

QNAP裝置成肉票4/獲報後即時攔截 威聯通:將持續積極處理
挑戰性感日常!今夏必備「Bra Top」2大挑選重點必須掌握
沉迷賭博欠債5000萬!馬國畢吐真心話:對家人很虧欠

◤居家上課工作必備◢
👉辦公3C設備下殺中 入手遊戲不無聊
👉親子防疫作戰 小孩在家不吵鬧靠這些
👉不出門更安心!一站購足防疫需求品