มี Synology NAS หรือไม่ บ็อตเน็ตกำลังโจมตีคุณด้วยกำลังดุร้าย

สิงหาคม 7, 2021 แมตต์มิลส์ ข่าว 0

Synology NAS? บ็อตเน็ตกำลังโจมตีคุณด้วยกำลังดุร้าย

Synology PSIRT ทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของ Synology ได้รับรายงานที่น่ากังวลในช่วงไม่กี่วันที่ผ่านมาเกี่ยวกับการเพิ่มขึ้นใน การโจมตีที่ดุร้าย เทียบกับเซิร์ฟเวอร์ NAS ของผู้ผลิต การเพิ่มกำลังเดรัจฉานนี้อาจเนื่องมาจากความจริงที่ว่ามีบ็อตเน็ตที่เน้นการโจมตีอุปกรณ์ของคุณโดยใช้กำลังเดรัจฉานโดยเฉพาะ โดยมีจุดประสงค์เพื่อแฮ็กอุปกรณ์และเข้าถึงข้อมูลทั้งหมด คุณมี Synology NAS หรือไม่ ถ้าอย่างนั้นคุณสนใจที่จะรู้ทุกอย่างเกี่ยวกับการโจมตีครั้งนี้

การโจมตีแบบเดรัจฉานคืออะไร

การโจมตีด้วยกำลังเดรัจฉานประกอบด้วยการทดสอบการรวมกันของผู้ใช้และรหัสผ่านที่เป็นไปได้ทั้งหมด โดยมีจุดประสงค์เพื่อเข้าสู่ระบบโดยมิชอบด้วยกฎหมาย โดยปกติ เซิร์ฟเวอร์ NAS มีเครื่องมือในการบรรเทาการโจมตีโดยใช้กำลังเดรัจฉาน เช่น การจำกัดจำนวนรหัสผ่านที่ล้มเหลวสำหรับผู้ใช้บางราย หากเกินขีดจำกัด ผู้ใช้นั้นจะถูกบล็อกโดยอัตโนมัติจนกว่าผู้ดูแลระบบจะปลดล็อก การกำหนดค่าทั่วไปอีกอย่างหนึ่งคือการบล็อกที่อยู่ IP ต้นทางซึ่งพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านเฉพาะหลายสิบหรือหลายร้อยครั้ง

หากเรากำลังพูดถึงบ็อตเน็ตที่กำลังดำเนินการโจมตีแบบเดรัจฉาน หมายความว่าเราจะมีที่อยู่ IP ต้นทางหลายแห่งที่พยายามจะเข้าสู่ระบบปฏิบัติการของเรา ดังนั้นมาตรการบรรเทาผลกระทบจะไม่ได้ผลทั้งหมดในกรณีเหล่านี้ เนื่องจากเราจะบล็อกสาธารณะ IP ต้นทางหรือหลาย ๆ อัน แต่การโจมตีจะมาจากที่อยู่ IP อื่น ๆ ที่เราไม่ได้บล็อก

Synology รู้อะไรเกี่ยวกับการโจมตีครั้งนี้บ้าง

ทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของ Synology ไม่พบสิ่งบ่งชี้ใดๆ ว่าบ็อตเน็ตพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ ดังนั้น โดยหลักการแล้ว เราจะได้รับการป้องกันจากช่องโหว่ที่อาจเกิดขึ้น สิ่งที่การโจมตีนี้กำลังทำอยู่คือพยายามบุกรุกข้อมูลประจำตัวของผู้ดูแลระบบบนเซิร์ฟเวอร์ NAS ของผู้ผลิต ในกรณีที่ประสบความสำเร็จ จะมีการติดตั้งมัลแวร์ที่อาจมีแรนซัมแวร์เพื่อเข้ารหัสไฟล์ทั้งหมดของเราบนเซิร์ฟเวอร์ NAS

แน่นอน อุปกรณ์ที่ติดไวรัสสามารถทำการโจมตีอื่นๆ ได้ เช่น การโจมตีแบบเดรัจฉานบนเซิร์ฟเวอร์ Synology อื่นๆ ที่ยังไม่เคยถูกบุกรุก ทีม Synology PSIRT กำลังทำงานเพื่อให้ได้ข้อมูลมากที่สุดเท่าที่จะเป็นไปได้ และพยายามปิดเซิร์ฟเวอร์ C&C (คำสั่งและการควบคุม) ทั้งหมดที่ทำให้เกิดการโจมตีนี้ พร้อมทั้งแจ้งไคลเอ็นต์ที่อาจได้รับผลกระทบ

ข้อแนะนำด้านความปลอดภัยที่ควรปฏิบัติตาม

คำแนะนำจาก Synology ได้แก่ ทบทวนนโยบายรหัสผ่าน และรหัสผ่านของผู้ใช้ผู้ดูแลระบบโดยมองหาข้อมูลประจำตัวที่อ่อนแอ นอกจากนี้ยังแนะนำให้ เปิดใช้งานการรับรองความถูกต้องสองขั้นตอน เพื่อปรับปรุงความปลอดภัยของบัญชีการดูแลระบบ และแม้กระทั่งเปิดใช้งานการบล็อกอัตโนมัติของผู้ใช้ต่าง ๆ หากป้อนรหัสผ่านไม่ถูกต้องหลายครั้ง

จากบทความนี้ เรายังแนะนำสิ่งต่อไปนี้:

  • ปิดพอร์ตทั้งหมดบนเราเตอร์ของคุณอย่างน้อยก็ชั่วคราว ยกเว้นพอร์ตที่คุณต้องการใช่หรือใช่เช่นเดียวกับพอร์ตสำหรับ VPN
  • หากคุณต้องการเข้าถึง Synology NAS ให้ใช้ a . เท่านั้น VPN ด้วยพอร์ตที่เกี่ยวข้องเปิดอยู่
  • อย่าเปิดเผยเว็บอินเตอร์เฟสการจัดการกับอินเทอร์เน็ต อาจเป็นเวกเตอร์โจมตี
  • ตรวจสอบกิจกรรมล่าสุดทั้งหมดบนเซิร์ฟเวอร์ NAS ของคุณสำหรับพฤติกรรมที่ผิดปกติ
  • สำรองข้อมูลของคุณ 3-2-1

ในบทความนี้ เราจะแจ้งให้คุณทราบเกี่ยวกับข่าวทั้งหมดที่ปรากฏขึ้นเกี่ยวกับการโจมตีด้วยกำลังเดรัจฉานที่ส่งผลต่อเซิร์ฟเวอร์ Synology