QNAP NAS 设备 2 漏洞遭锁定！UnityMiner 恶意挖矿软件连续发动 100 多版攻击行动

威联通科技（Systems）旗下的 NAS 设备深受市场欢迎，但日前却出现针对该品牌 NAS 设备使用者的安全公告，其指出当前有一波恶意加密货币攻击行动，正在刻意利用这些设备上两个未修补的重大固件漏洞。

尽管 QNAP 早在 2020 年 10 月就修复漏洞。但中国网安公司奇虎（Qihoo）360 网络安全研究实验室（Netlab）研究人员报告指出，有骇客专门锁定 QNAP 公司 NAS 设备所使用的未修补固件，展开 100 多种版本的广泛攻击活动。

根据 QNAP 10 月安全公告指出，这些漏洞会影响早期版本的 QNAP 3.0.3 Helpdesk 支援平台固件。编号 CVE-2020-2506 的漏洞属于不当存取控制漏洞，进而让攻击者获得 QNAP 设备的控制权。编号 CVE-2020-2507 第二支漏洞系属命令注入漏洞，可让远端攻击者执行任意命令。

UnityMiner 会隐藏挖矿进度和内存资源使用率以规避侦测

据最近网络看到的 QNAP 设备映射，尤以位在美国（554,481 名）和中国（550,465 名）共 110 万名 QNAP NAS 用户受到的影响最为严重，光两地就占了全球总感染数近 80% 的可观比例。

奇虎 360 Netlab 研究人员将感染这些储存设备的加密挖扩恶意软件称之为 UnityMiner。目前对于 UnityMiner 的历史，以及背后始作俑者都不甚清楚，因为过去似乎都没有关于恶意软件的任何报告。

“我们将这支恶意挖掘程式命名为 UnityMiner，我们注意到攻击者透过隐藏挖矿进度和真实的 CPU 内存资源使用率资讯等手法客制化程式，这也是为什么当 QNAP 用户透过 WEB 管理界面检查系统使用率时，他们压根看不到有什么异常的系统行为。”奇虎 360 Netlab 最近分析报告写道。

可行缓解之道：将 QNAP Hepler 支援平台固件更新至最新版本

360 Netlab 的研究人员辨识出 100 多版 QNAP NAS 固件弱点攻击，这些弱点早在 QNAP 于 2020 年 8 月漏洞更新前就被恶意利用了。

“QNAP NAS 用户应立即检查并更新固件。”研究人员说。除了更新固件，他们也建议 QNAP 用户应监视或阻止在有限攻击分析报告详列的恶意 IP 与 URL。研究人员解释，目前没有针对该漏洞公开任何可协助 QNAP 减缓问题并限制攻击的概念式验证或技术细节。

研究人员写道，活动基本内容包括骇客设定并启动挖矿程式的 UnityMiner 可执行安装程式（名为 unity_install.sh 和 Quick.tar.gz），并劫持原先设备的 manaRequest.cgi 程式。Quick.tar.gz 内含挖矿程式、挖矿组态档、挖矿启动脚本和伪造的 manaRequest.cgi 档。

研究人员解释道，UnityMiner 接着会利用 QNAP Helper 支援平台的处理程序漏洞，将系统文件 /home/httpd/cgi-bin/management/manaRequest.cgi 重命名为 manaRequests.cgi（此文件负责查看并修改设备的系统资讯）。

有趣的是，这些攻击背后的未知骇客会使用自己的代理池（proxy pool），以便将 Monero 加密货币钱包藏起来。劫持攻击指标包括为代理池“aquamangts.tk:12933”、“a.aquamangts.tk:12933”和“b.aquamangts.tk:12933”配置的 NAS 设备。此外，据研究人员指出，这个挖矿程式使用具备“aquamangts”根目录的变种 proxy 与 URL。目前缓解措施包括将 QNAP Hepler 支援平台固件更新至最新版本。

NAS 设备沦为甜美多汁的攻击目标

长久以来，NAS 设备一直是网络犯罪分子的火红攻击目标，QNAP 也无力扭转这个趋势。去年 12 月，这家储存制造商发布了某个重大严重性漏洞的安全公告，该漏洞允许远端攻击者能利用两个跨站脚本漏洞（CVE-2020-2495 和 CVE-2020-2496）任一漏洞接管设备。

另一个影响 QNAP 的安全事件发生在 2019 年，当时骇客透过名为 Qsnatch 的恶意软件锁定储存设备。同年也报导另一起安全事件，亦即出现专门锁定 Linux NAS 设备（包括 QNAP）的勒索软件（名为 QNAPCrypt）。

• Crypto-Miner Campaign Targets Unpatched QNAP NAS Devices

（首图来源：QNAP）