跳至主要內容區塊
財經
熱線

QNAP裝置成肉票3/紅隊演練中發現漏洞 專家:VPN可降低勒索機率

VPN 如梭世代 ZUSO 威聯通 NAS HBS CVSS 負責任披露規則 虛擬私人網路
如梭世代技術經理Shirley透露,團隊在一次紅隊演練中,發現威聯通的NAS有漏洞,除了立即通知威聯通以外,還在威聯通釋出更新檔後通報刑事局。(圖/馬景平攝)

如梭世代技術經理Shirley透露,團隊在一次紅隊演練中,發現威聯通的NAS有漏洞,除了立即通知威聯通以外,還在威聯通釋出更新檔後通報刑事局。(圖/馬景平攝)

本刊調查,資安公司「如梭世代」(ZUSO)去年替企業進行「紅隊演練」(模擬駭客入侵攻擊)時,就無意間發現威聯通NAS疑似有安全問題,研究了兩個月,終於發現產品的「HBS」(Hybrid Backup Sync,一種用戶進行備份、刪除和還原的軟體)內,存在1個漏洞。

如梭世代的技術經理Shirley指出,該漏洞不需要任何帳號權限,只要能在網路中接觸設備就可以在主機內執行任意代碼,甚至可以撈到使用者的密碼等,「這個漏洞被『漏洞評分系統CVSS』(Common Vulnerability Scoring System)評為最高級的10.0分。」

確定漏洞確實存在後,如梭世代除了在3月17日通知威聯通進行修補,也遵循國際的「負責任披露規則」(ResponsibleDisclosure Policy),在威聯通釋出更新檔後,通報刑事局,希望透過官方管道同步讓國際刑警組織知悉,善盡社會責任。

Shirley指出,安全與便利本是一體兩面,在兩者間取得平衡是大家共同努力的目標,「建議用戶除了定期更新外,也可以讓設備減少對外暴露,例如透過VPN(虛擬私人網路)連線內網存取裝置,就可以大幅降低類似事件發生。」

香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)
香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)
VPN 如梭世代 ZUSO 威聯通 NAS HBS CVSS 負責任披露規則 虛擬私人網路