QNAP waarschuwt klanten met onbeveiligde nas-systemen voor ransomwareaanvallen

QNAP raadt alle klanten met nas-systemen dringend aan hun beveiligingsinstellingen goed door te lopen om er zeker van te zijn dat de systemen niet onbeveiligd verbonden zijn aan internet. Dit advies volgt na een toename van het aantal slachtoffers van de eCh0raix-ransomware.

QNAP raadt klanten aan om in de Security Counselor van hun nas-systemen te kijken of hun systemen toegankelijk zijn via internet. Als dit het geval is, dan komt er een melding in beeld dat de gebruiker een 'medium risico' loopt. Krijgen gebruikers te zien dat de nas via internet toegankelijk is, dan worden ze aangeraden port forwarding voor die nas uit te schakelen binnen hun router. Standaard horen de poorten 8080 en 433 bij QNAP-nas-systemen. Daarnaast krijgen klanten het advies om binnen myQNAPcloud UPnP uit te schakelen voor hun nas.

QNAP waarschuwt zijn klanten nadat 'netwerkapparaten doelwit zijn van ransomware- en brute-force-aanvallen', zonder hier meer details over te geven. BleepingComputer schreef eind december dat er opvallend meer nas-systemen waren getroffen door de eCh0raix-ransomware, ook wel bekend als Qnapcrypt. Sommige gebruikers erkenden dat ze hun nas-systeem onbeveiligd op internet hadden aangesloten.

Deze ransomware werd in 2019 ontdekt en voegt een .encrypt-extensie toe aan de bestanden en versleutelt deze met aes 256-encryptie. Ook toen adviseerde QNAP nas-gebruikers de 8080- en 443-poorten niet langer als standaard te gebruiken. Ook luidde het advies om ssh en telnet uit te schakelen. In maart waarschuwde het bedrijf voor brute-forceaanvallen gericht op zijn nas-systemen.

Door Hayte Hugo

Redacteur

07-01-2022 • 16:20

56

Submitter: peewee.

Reacties (56)

Sorteer op:

Weergave:

Er wordt vanwege security afgeraden de NAS aan het internet te hangen. QNAP Sync is een applicatie om je bestanden te sycnen met de qnap. Zeg maar onedrive maar dan selfhosted. Ik ken genoeg mensen die dit prettig vinden. Echter vandaag de dag is dit dus niet meer verstandig. QNAP Sync gebruikt dezelfde poort als de Admin Interface.
Wat ik niet begrijp is waarom het team bij QNAP niet wat meer focus op beveiliging heeft zodat mensen niet naar de cloud overstappen.
Ik ben het met je eens, NAS-bedrijven denken nog vaak bij een NAS aan een product dat je een keer betaalt en niet aan een service die bij je thuis staat.

Mijn Nextcloud (en tegenwoordig Seafile) hangen gewoon aan het internet, en ik krijg daar maandelijks of vaker een melding van dat er een update klaar staat als deze niet al automatisch wordt geïnstalleerd. Voor een meerprijs zou zo'n feature ook gewoon in een NAS mogelijk moeten zijn.
Het punt is dat je ze het doen op basis van brute forcing. Er zit gewoon ergens een server te ronken die alle poorten online afgaat om te zien om wat voor NAS het gaat, vervolgens probeert in te loggen of kijkt of er een update niet is geïnstalleerd.

Qnap geeft mij netjes updates als mensen proberen in te loggen zonder resultaat en blokkeert hun vervolgens dan ook. Bij gebruik van de standaard poorten gebeurde heel vaak, nu ik dat niet meer heb een stuk minder. Bij het helemaal niet meer gebruiken van een dynamische dns van qnap zelf, verwacht ik dat dit nog minder zou zijn.

Dus wat mij betreft is het advies van qnap kloppend. Zet hem alleen op het internet als het moet, verander je poorten, sterke wachtwoorden, admin account uitzetten, update je NAS zo snel mogelijk (of zet hem op automatisch).
Precies dit.

Mijn QNAP NAS:
- Standaard admin account disabled
- Web services en alle andere services (ftp, etc) uit
- Standaard admin poort gewijzigd
- 2FA aan op alle accounts
- Regelmatig updaten
- Staat alleen aan op bepaalde tijden (scheelt ook weer stroom)
- QFirewall aan (waaronder alleen allow op NL ip adressen)
- Block na 10 inlog fails
- myQnapCloud en DDNS uit

Ik kan buitenshuis in NL mijn NAS bereiken via port forwarding op mijn router op een specifieke poort, op bepaalde tijdstippen, alleen met 2FA. Als ik op vakantie ga, kan ik dat land tijdelijk toevoegen aan QFirewall.

Alle foto's op mijn mobiel worden alsnog automatisch overgezet naar mijn NAS via een Qfile background task die op mijn mobiel draait.

En daarnaast draait een backup naar een 2e NAS, alleen bereikbaar via het interne netwerk. NAS 2 haalt de data op van NAS 1. NAS 2 werkt met snapshots. En wekelijks een encrypted backup naar Backblaze. Op deze manier ben ik ook relatief goed beschermd tegen afpersers die de data op de NAS weten te encrypten.

[Reactie gewijzigd door KoffieAnanas op 23 juli 2024 07:40]

Goede tips, ik zocht meteen QFirewall, echter blijkt deze QuFirewall te heten.
Ik ga er van het weekend eens mee aan de slag.
Pfoei, ik zou dat allemaal niet willen, beter op z'n hoogst een goede vpn server in een dmz lan en van daaraf met 2fa/hw tokens verder ...
Die functie zit er al jaren in bij Qnap. Alleen nemen veel mensen de moeite niet om te updaten en de instellingen te doen zodat je ook melding kunt verzenden via bijv. email. Elke keer dat je inlogt op de beheerportal van de Nas krijg je melding wanneer er een firmware update is.
Je kunt eventueel de QNAP in een VPN zetten en hem zo benaderen, dan staat hij niet publiek op het internet maar kan je er wel overal bij.
Ik kan onedrive benaderen zonder VPN. Snap je mijn punt? Ik vond Qsycn ook handig op mijn telefoon. Daar is het helemaal niet handig om steevast een VPN naar huis te doen. Verder wordt er gesuggereerd in diverse fora om niet de VPN van de QNAP te gebruiken maar bijvoorbeeld een RPi.
Heb al tijden permanente een VPN verbinding naar huis open staan middels WireGuard. Icm pihole heb ik daardoor nagenoeg nooit meer reclame, zelfs niet op het mobiele netwerk :). WireGuard heeft ook geen (echte) impact op mijn accu verbruik, dus waarom niet?

Het is makkelijker op te zetten dan je denkt. Genoeg tutorials beschikbaar!
Ja, toch is dit niet overal even praktisch. Op mijn werk heb ik nauwelijks mobiel bereik. En de firewall van mijn werk blokkeert Wireguard en OpenVPN verkeer. Onze IT provider is een landelijke speler, en ik verwacht dat meerdere bedrijven VPN verkeer blokkeren. Dat maakt het allemaal ineens een stuk lastiger.
In dit soort specifieke gevallen kun je natuurlijk de poorten naar je nas forwarden als deze vanaf het ip van je werk wilt bereiken. Dat is al veel beter dan het voor de hele wereld open te zetten.
Via 4G/5G natuurlijk geen issue.
Op mijn werk heb ik nauwelijks mobiel bereik.
Dat lijkt me wel een issue..

Ook wanneer bedrijfstoepassingen enkel lokaal of via eigen VPN beschikbaar zijn is het niet handig. DAn mag je continu switchen tussen wifi/mobiele data of VPN van jezelf/bedrijf.
Gewoon QVPN installeren op de QNAP en b.v. openvpn server configureren, poortje naar VPN in de router openen, alle andere poorten dicht laten.
Daarna kan je op ieder apparaat dat er extern bij moet kunnen een openvpn client gebruiken.
Precies wat ik doe, bevalt me prima, nooit meer geklooi met port forwarding. Daarbij de boel ook nog in een subnet staan die de VPN beheert., zeer stabiel zo en overzichtelijk.
Een andere oplossing zou verboden moeten zijn. Heb al sinds dag 1 dat ik een file server nu NAS heb, een vpn naar men thuis netwerk. Eerst openvpn nu WireGuard.
Prijs (en privacy?).

Een NAS koop je eenmalig, voor Onedrive zit je vast aan (nóg) een abonnement.
NAS koopt je eenmalig, maar als die maar beperkt updates krijgt mag je na een tijdje alsnog weer een nieuwe kopen.
Toevallig voor een lokale club het laatst uitgezocht, met onze behoefte is het goedkoper om een Onedrive abbo te nemen dan een nieuwe NAS aan te schaffen.
Oude NAS staat uit omdat die geinfecteerd was en geen nieuwe updates meer ontvangt. Zonde, ding doet het verder nog prima.
Van qnap kun je niet zeggen dat hun update beleid karrig. Op hun website staat tot hoe lang elke model updates krijgt. Mijn oudste nas krijgt op deze manier na tien jaar dit jaar zijn laatste updates. Ik ben daar zeer content over.
Ik zeg ook niet dat het karig is, maar dat het apparaat nog prima werkt, behalve dat er geen beveiligingsupdates meer voor zijn.

Over de 10 jaar, dat is leuk als je het apparaat koopt tijdens launch. Ik zie dat het model wat wij hebben 5 jaar na launch aangekocht is (bij deze dank aan mijn voorganger ict prutser). Dan wordt de update periode ineens een stuk kleiner.
Kan dat niet volledig mijn voorganger de schuld geven, updates moeten tot x periode na laatste productie zijn, niet na lancering imho.
Nou, ik krijg nog updates voor mijn QNAP NAS binnen. 6 jaar oud!
Hier staat voor mij tegenover dat de clouddienst je (betaalde) account onverwachts kan blokkeren, niet meldt waarom en er geen verder gesprek mogelijk is. Je data en functionaliteit is van het ene op het andere moment verdwenen.
Account geblokkeerd. Wat nu?

Benaderen via VPN heeft mijn voorkeur maar dat is niet voor iedereen weggelegd.
Gebeurt dat ook bij betaalde accounts? Of alleen bij gratis.
Je kunt er natuurlijk ook voor kiezen om geen foto's naar de cloud te syncen en alleen een encrypted backup daarheen te maken. Dan kunnen ze niet je foto's inzien en eventueel om een verkeerde reden je account blokkeren.
Je kan je qnap ook laten benanderen via qnap cloud, heb je geen abo voor nodig en in feite connect je nog steeds met je eigen nas, maar dan via qnap dienstverlening.
Zelf gebruik ik voor zo'n prive cloud sync 'SyncThing', met de qnap als centraal punt.
Het mooie van dit zelf-hosten is dat het ook heel goed werkt via wifi. Sterker, het werkt bij mij alleen maar als ik direct met thuis verbonden ben, via wifi (of bekabeld).

Van qnap-sync weet ik het niet in detail zeker. Maar voor het gemak ga ik er van uit dat die ook heel goed werkt door het alleen via wifi te gebruiken. Natuurlijk werkt de sync niet als je geen directe verbinding hebt. Maar dat is juist de bedoeling van die sync: Dat je de geselecteerde bestanden gewoon bij je hebt en als er weer eens contact is, dat ze dan worden gesynchroniseerd.

Voor qnap (en synology) zie ik dat ze juist doen wat jij verwacht: Ze bieden hardware zodat gebruikers daar hun eigen cloud mee kunnen opzetten. Ook lees ik heel regelmatig dat ze weer eens waarschuwen voor verbeteringen in beveiliging door de configuratie bij te werken.
Ik gebruik zelf Synology i.p.v. QNAP, dus daar draait de Admin-UI niet op dezelfde port als de rest van de apps/web-services. Geen idee waarom dit bij QNAP wel het geval is.

Synology is gewoon open-source software die middels de DiskStation Manager (DSM) Admin-UI te configureren valt. Daarbuiten is de open-source software ook gewoon op de normale manier (standaard configuratie-files van de software) te configureren. Alle verbindingen naar de Synology lopen daarom gewoon via engine X (NginX), wat het mogelijk maakt om slechts gedeeltelijk externe toegang te geven tot je NAS via HTTPS. Daarbij moet je natuurlijk wel de kennis hebben om NginX middels config-files te configureren, wat niet van iedereen verwacht mag worden.

[Reactie gewijzigd door 2TheMaks op 23 juli 2024 07:40]

Ik gebruik zelf Synology i.p.v. QNAP, dus daar draait de Admin-UI niet op dezelfde port als de rest van de apps/web-services. Geen idee waarom dit bij QNAP wel het geval is.
Dit is niet helemaal waar wat je zegt. Heel veel applicaties zitten op de dsm poorten 5000 en 5001 (waar ook je admin UI op zit)

Check deze pagina maar

[Reactie gewijzigd door L0g0ff op 23 juli 2024 07:40]

Dit is niet helemaal waar wat je zegt. Heel veel applicaties zitten op de dsm poorten 5000 en 5001 (waar ook je admin UI op zit)
Klopt. Voor deze poorten (5000-5001) dus NOOIT port-forwarding aanzetten in je router of NAT-firewall!!!

Wat ik doe is port-forwarding voor port 443 (HTTPS) in de router/firewall naar de Synology-NAS, en op de NAS reverse-proxies configureren in NginX voor de services die ik extern toegankelijk wil hebben. Wil ik mijn contacten extern kunnen synchroniseren dan maak ik een NginX-alias die http(s)-requests voor de locatie [/carddav] via een reverse-proxy naar [http://127.0.0.1:5000/carddav] stuurt, waardoor de synchronisatie-app op mijn mobile devices (DAVx⁵) mijn contacten kan synchroniseren vanaf een extern netwerk (bijv. https://mijn-domein-naam.nl/carddav). Zelfde voor agenda's (bijv. https://mijn-domein-naam.nl/caldav).

Dit kan ik doen omdat de admin-ui niet via port-443 (of 80 danwel 8080) te benaderen is. Alleen de apps/services waarvoor ik een reverse-proxy configureer zijn exposed (dus moeten wel een sterk wachtwoord gebruiken!!!!!).

[Reactie gewijzigd door 2TheMaks op 23 juli 2024 07:40]

Goeie tip! Die implementatie kende ik nog niet zo. Tnx!
Nog een tip:
Wanneer je met de hand NginX config-files aanpast/toevoegt, kijk dan altijd even met het commando [sudo nginx -t] of de aanpassingen in de configuratie valide zijn (-t voor test). Want als de configuratie van NginX niet valide is, dan is ook DSM (op 5000/5001) niet meer bereikbaar na een restart van NginX of een reboot van de NAS!!!

[Reactie gewijzigd door 2TheMaks op 23 juli 2024 07:40]

Geloof ik al 2 keer voorgekomen dat QNAP gehacked is doordat de admin-ui op dezelfde poort zit, reden voor mij geweest om ze te laten vallen bij een keuze voor een nieuwe NAS en voor een Synology te gaan.
Kan een Qnap NAS een UPnP verzoek doen aan je router wanneer dit aan staat?
Advies: Zet UPnP sowieso uit.
ja dat kan, zie artikel in de c't van april 2021 (p78 ev)
Upnp was ooit geweldig maar bij mij staat het juist op de router heel bewust uit. En natuurlijk ook op alle andere appartuur waar ik het niet direct nodig heb.

Als het nodig is, dan staat het even aan om te zien welke instellingen er langs komen en daarna gaat het weer uit en worden de instellingen gewoon vast ingesteld (of helemaal niet natuurlijk)
Zelf gebruik ik ZeroTier om mijn qnap op afstand te benaderen, dan hoeft er geen poort open te staan. Bijkomend voordeel is dat de firewall van mijn werkgever (onderwijs) dit verkeer niet blokkeert, reguliere VPN's wel.
Dat lijkt allemaal goed en wel. Echter word er door ZeroTier (en soortgelijke diensten, inclusief TeamViewer en AnyDesk) gebruik gemaakt van Hole-punching (Wikipedia US). Een 3e partij zorgt dan voor de connectie tussen jouw device en je netwerk thuis.

Mocht er bij die 3e partij zich een probleem voordoen, dan ben je alsnog de sigaar, op je device en je thuisnetwerk. Zelf een VPN server draaien in je thuis-netwerk is dan veiliger. Maar ook minder makkelijk voor de eindgeberuiker. Afwegen dus.
En je bent verplicht QVPN te installeren. En dat terwijl ik mijn VPN vanaf een ander device heb geregeld voor een extra laag security.
QNAP pakt het verkeerd aan. Zelfs onder de tech-savvy NAS bezitters zijn er voldoende mensen die niet omkijken naar de beveiliging van hun NAS, en die ook deze waarschuwing aan zich voorbij laten gaan onder het mom van 'gebeurt mij niet'. Nu kun je roepen, eigen verantwoordelijkheid, maar daar is je klant niet mee geholpen. De grote spelers op de markt laten zien dat nudging effectief is om de online veiligheid van mensen te vergroten.

Het bedrijf moet een proactieve rol nemen door updates opt-out te maken, mensen zelf een poortnummer in te laten vullen en complexe wachtwoorden te eisen.
Idd security by design.

Geoblocking aan, updates aan, 2fa aan, afwijkende tcp poorten gebruiken, fail2ban, sterke wachtwoorden afdwingen en offsite backup.

Alleen dan kom je bij het volgende dillema. Dit is totaal niet gebruiksvriendelijk.

Persoonlijk vind ik dat je zonder die maatregelen helemaal niks aan het web moet hangen. En zeker je nas niet met al je persoonlijke data.

Verder geeft synology me wel meer vertrouwen dan qnap. Volgens mij zijn de prijzen redelijk gelijk alleen heeft synology hun security en patch beleid echt wel beter voor elkaar.
Geoblocking en updates zijn niet persé "niet gebruikersvriendelijk".

Mijn QNAP hangt ook met poort 443 via een port forward aan het internet. Alle accounts hebben sterke PWD's en 2FA aan staan. Lokale admin account + telnet staat uit.

Zoals @glatuin al aangeeft gaat m.n. Qsync stuk als je 443 dicht gooit. Bovendien is webbased filemanagement via Filemanager via aan standaard https poort intuitiever. Anders wordt de NAS voor de rest van mijn gezin onbruikbaar zo ongeveer; ik krijg het ze niet uitgelegd dat ze maar een custom poort moeten gebruiken. Dus, ja, ik loop een hoger risico, maar ik gok erop dat sterke PWD's, een gelimiteerd aantal users, 1 open poort (443) vanaf de buitenwereld en een 'update-early' beleid + een FW me gaan redden hier.

Het alternatief wat QNAP aanraad via MyQNAPcloud proxied alle connecties door een broker service bij QNAP. Dat is omslachtig (en qua performance beperkt) en dan moet je voor iedere user ook daar nog eens een acccount aanmaken.

Van de andere kant; je Onedrive/GDrive/whatever account achter een 2FA authenticatie is in essentie 'op gelijksoortelijke manier beveiligd', alleen dan niet in je meterkast.
om er zeker van te zijn dat de systemen niet onbeveiligd verbonden zijn aan internet.
Wat is het verschil tussen beveiligd en onbeveiligd? HTTPS? Of nog andere zaken?
Ik heb zelf een Qnap NAS waar ik qsync gebruik. Voorlopig zet ik die even uit en connecteer enkel via VPN.
Ik heb zelf geen NAS dus welke opties beschikbaar zijn weet ik niet. Maar aangezien ze hier over brute force praten moet je meer denken aan een lang wachtwoord, 2fa, andere gebruikersnaam dan admin gebruiken of bijvoorbeeld (via je modem/vpn) dat alleen bepaalde ip adressen verbinding mogen maken.

Https zorgt er alleen voor dat je verbinding veilig is maar beschermt niet dus tegen zulke aanvallen.
Tja, QNAP... Maar nog wel in de firmware werken met PHP 7.3.7. Al sinds december 2021 geen (beveiligings) updates meer. Leuk wanneer je een website draait op de QNAP. En ik heb hem juist daarvoor aangeschaft. Update naar Joomla 4 is daardoor ook niet mogelijk. Ik heb dit al een half jaar geleden bij QNAP gemeld... We kijken ernaar... Natuurlijk...

[Reactie gewijzigd door alien9998 op 23 juli 2024 07:40]

Mocht je er uiteindelijk toch niet uitkomen met QNAP, dan heb je (bijna) altijd nog de mogelijkheid om er Debian op te draaien. Dat kost wat moeite, maar dan hou je er een volwaardige server aan over.
Plus natuurlijk een nieuw adminstrator account met een afwijkende naam aanmaken en de ingebouwde "admin" uitschakelen.
Je kan dan alleen geen ssh of sftp verbinding meer maken met je NAS, wat voor troubleshooting wel nodig is van tijd tot tijd. Zeker bij het opschonen en verwijderen van grote hoeveelheden bestanden.

Ik heb een alternatief admin account maar moet het default account er ook actief houden juist om deze reden. Blijft belachelijk dat QNAP dit niet kan oplossen.
Hoe zit dat dan eigenlijk met de eigen vpn van Qnap? Die is via een qnapserver (myqnapcloud) te bereiken, maar ook gewoon via je ip-adres. Is die nu ook niet meer te gebruiken?
Persoonlijk vind ik dit heel nalatig van QNAP. Iedere developer weet dat wanneer je een login formulier op het internet zet dat deze op een gegeven moment gebruteforced gaat worden.
Meestal gewoon met een bekende username password lijst die op het internet staan.

Wat bedrijven meer moeten doen is standaard een goede rate-limiting inbouwen zodat wanneer er teveel (foutieve) calls naar een API komen deze je blokkeert.

Maar preventief beveiligen lijkt enorm onbelangrijk voor deze bedrijven te zijn.

Op dit item kan niet meer gereageerd worden.