全球知名的台灣網路儲存裝置(Network Attached Storage, NAS)製造商 QNAP,近期發布資安警訊,指出目前有一個稱為 eCh0raix 的勒贖軟體,正在發動大規模勒贖攻擊,用戶應提高警覺。
這個稱為 eCh0raix 的勒贖軟體,主要是攻擊 Roon Server 套件中的一個 0-day 漏洞;用戶如果在自己的 NAS 上安裝了 Roon Server 套件 2021-02-01 之前版本,就很可能遭到 eCh0raix 勒贖軟體攻擊。
eCh0raix 其實並不是全新出現的勒贖軟體,早在 2019 年 7 月時,趨勢科技便曾發出資安通報,揭露 eCh0raix 的存在與感染過程;不過當時的感染方式並非利用 Roon Server 套件,而是透過登入資訊暴力試誤法等較原始的攻擊方式;當時也有資安研究人員很快推出了解密工具。
QNAP 於資安通報中指出,由於 eCh0raix 主要攻擊 Roon Server 套件中的漏洞,因此建議用戶應立即從自己的 NAS 系統上移除或停止 Roon Server 的執行,同時依下列建議加強 QNAP NAS 的安全性:
如果仍需使用 Admin 帳號,應立即更改並使用強度足夠的密碼;
如果可以不使用 Admin 帳號,應先指定其他使用強式密碼的帳號擁有 admin 權限,然後刪除或停用 Admin 帳號;
設定 IP 連線安全性原則,短時間内重覆登入失敗的來源 IP,應自動列入黑名單,以阻絕暴力試誤登入攻擊;
避免開放連接埠 8080 與 443,將其改為其他隨機連接埠。
相關連結
