인터넷에 노출된 QNAP NAS 장치 5만 7천 대 탐지
페이지 정보
작성자 게시판관리자 작성일24-06-23 17:54 조회710회 댓글0건관련링크
본문
2023년에 QNAP & SYSNOLGY NAS장비가 랜섬웨어 공격이 온상이 되어 오고 있는 것을 볼 수 있다. 개인의 데이터 백업을 위해 NAS 장비를 도입하여 백업을 하여 왔는데 이것을 노리고 해커는 무작위로 NAS 랜섬웨어 공격을 통해 많은 돈을 갈취하기도 하였다. 지금도 NAS 장비 백업에 대해서 무차별적으로 공격을 계속 이루어 지고 있어 백업자료도 안심을 할 수 없는 지경에 이르렀다.
아래의 뉴스는 Criminal IP (ASM) 를 통해 QNAP NAS에 대한 탐지현황을 모니터링한 뉴스이다.
인터넷에 노출된 QNAP NAS 장치 5만 7천 대 탐지
최근 대만의 하드웨어 공급업체인 QNAP은 취약한 비밀번호로 인터넷에 노출된 QNAP NAS(네트워크 연결 스토리지)장치를 대상으로 하는 무차별 대입 공격(Brute-force)에 사용되는 악성 서버를 제거해 성공적으로 공격을 방어했다.
QNAP은 QNAP 장치에 내장된 방화벽 QuFirewall으로 수백 개의 좀비 네트워크 IP 주소를 7시간 이내에 성공적으로 차단하였으며, 48시간 이내에 소스 C&C(Command&Control)서버를 식별했다. 다행히 빠른 조치로 인해 인터넷에 노출된 수많은 QNAP NAS장치들이 추가 공격으로부터 보호되었다.
외부에 노출된 QNAP NAS 장치 찾기
노출된 QNAP NAS 장치를 노린 무차별 대입 공격은 정기적으로 발생하고 있다. 심지어 무차별 대입에 성공한 경우 랜섬웨어 공격으로 이어지기도 한다. 최근 공격은 다행히 QNAP의 빠른 조치로 인해 완화되었지만, 공격자의 타겟이 되는 노출된 NAS 장치는 여전히 남아있다.
검색엔진 Criminal IP Asset Search에 product 필터를 활용하면 인터넷에 연결되어 있는 QNAP 서버를 찾을 수 있다.
Criminal IP에서 확인한 노출된 QNAP NAS 장치 보유 국가 통계
노출된 QNAP 장치의 국가 통계는 독일이 6,700여 건으로 가장 많으며 이탈리아, 대만이 그 뒤를 이었다.
QNAP이 아니더라도 모든 외부에 노출되어 있는 NAS 서버는 공격자의 공격 대상이 되기 쉽다. NAS는 민감한 파일을 백업하고 공유하는 데 자주 사용 되므로 중요한 문서를 훔치거나 암호화하거나 정보를 훔치는 악성 코드를 설치하려는 목적의 공격 표적이 될 수 있다.
여전히 취약한 상태의 QNAP NAS 서버
검색된 노출된 QNAP NAS 서버 중에는 공격자의 타겟이 되기 좋은 위험한 상태인 서버가 매우 많다. QNAP의 공격자 차단으로 인해 최근 발생한 위협은 완화되었지만, 공격자는 언제든 다른 방법으로 공격을 시도할 수 있다.
아래에 보여지는 Asset Search 리포트는 QNAP NAS 장치가 가동되고 있는 IP 주소의 리포트다.
총 7개의 포트가 오픈되어 있고, 21번 포트에서 QNAP NAS 장치를 가동하고 있고, 22번 포트가 열려있는 채로 여러 개의 취약점을 보유하고 있다. 이렇게 취약점이 드러난 상태로 운영되는 IP 주소의 장치들은 특히나 공격자의 타겟이 되기 쉽다.
Criminal IP Asset Search에서 검색한 취약한 상태의 QNAP NAS 서버의 리포트
최근 QNAP 대상 공격 외에도 NAS 서버에 대한 공격은 지속되고 있다. 또 다른 NAS 제조업체인 Synology도 StealthWorker 봇넷에 의한 무차별 대입 공격에 대해 고객들에게 경고하고 있으며, 이로 인해 랜섬웨어 감염이 발생할 수 있다는 것을 인지하고 관리에 주의를 기울이라고 권고한다.
QNAP은 NAS 장치를 안전하게 보호하기 위해 기본 액세스 포트 번호를 변경하고 라우터의 포트 포워딩 및 NAS의 UPnP 비활성화를 권고한다. 또한 계정에 대한 강력한 비밀번호 설정, 비밀번호 정책 구현, 관리자 계정 비활성화 등의 조치를 시행할 것을 촉구했다. 또한 NAS를 사용하는 모든 기업 및 기관은 이러한 공급 업체의 권고 사항을 따르는 것과 동시에, Criminal IP 검색엔진 또는 Criminal IP ASM 공격 표면 관리를 활용해 장치가 외부에 노출되어 있는지 항상 관리해야 한다.
관련하여 시스코 IOS XE 제로데이 취약점: 56,000개 이상의 노출된 장치 찾기 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP(https://www.criminalip.io/ko)
댓글목록
등록된 댓글이 없습니다.