QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

两周前，QNAP 用户曾收到关于 AgeLocker 勒索软件爆发的警告信息。QNAP 在今天发布的安全公告中指出，已经收到多份关于受 eCh0raix 勒索软件影响的设备报告。

QNAP 公司指出，“eCh0raix 勒索软件被指影响 QNAP NAS 设备。使用弱密码的设备可能易受攻击。“QNAP 督促客户”立即行动“，保护数据免受潜在的 eCh0raix 攻击，可采取的措施包括：

安全公告中给出了更改 NAS 密码、启用 IP Access Protection 和更改系统端口的详细步骤。

虽然QNAP并未提到该公司从直接受 eChoraix 勒索软件影响的用户接收到多少份报告，但从 eChoraix 支持话题下看到的攻击报告数量激增。

另外，虽然并未提到和 eChoraix 攻击之间存在直接关联，但 QNAP 公司还提到已遭利用的 0day 影响 Roon Labs 的 Roon Server 2021-02-01 及之前版本。

QNAP 公司推荐禁用 Roon Server 音乐服务器且不要在互联网暴露 NAS，在 Roon Labs 提供安全更新前免受活跃攻击影响。

为禁用 NAS 上的 Roon Server，必须遵守如下程序：

1、以管理员身份登录 QTS

2、打开 App Center 并点击，搜索框出现。

3、输入 “Roon Server”，按下 “Enter” 键。Roon Server 出现在搜素结果中。

4、点击 Roon Server 图标下面的箭头。

5、选择 Stop。该应用程序被禁用。

QNAP 还修复了 Malware Remover app 中的一个命令注入漏洞。

该缺陷可导致远程攻击者在运行易受攻击 app 版本的设备上执行任意命令。

QNAP 设备之前即2019年6月和2020年6月遭 eChoraix 勒索软件 (QNAPCrypt) 攻击。

四月中旬开始，QNAP 设备遭到大规模的 Qlocker 勒索软件攻击，威胁行动者使用 7zip 压缩文档远程加密数据，仅在5天内就攫取了26万美元。

另外，QNAP 删除了 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的要给后门账户。之后经确认，Qlocker 操纵人员使用被删除的后门账户入侵某些 QNAP 客户的 NAS 设备并加密其文件。

如在开头时所述，AgeLocker 勒索软件还在两周前攻击 QNAP 客户，并在2020年9月利用易受攻击 Photo Station 版本中的漏洞攻击公开暴露的 NAS 设备。