標題: QNAP ... 今次真心PK... [打印本頁]

---

作者: hkstanley    時間: 2021-4-27 11:58     標題: QNAP ... 今次真心PK...

本帖最後由 hkstanley 於 2021-4-27 14:13 編輯

當我睇完HKEPC個報道

https://www.hkepc.com/20185/SAM_ ... %E6%9B%B4%E6%96%B0_

同埋 Seamless Network個Report

https://securingsam.com/new-vuln ... -complete-takeover/

我完全睇唔過眼QNAP今次既做法... 明知被人Target... 但都唔warning user去即時更新
呢D公司, 有咩企業負任?

---

作者: jackwong717    時間: 2021-4-27 12:09

回復 1 #hkstanley

睇完報導，q不能原諒.......！

Android 紅米note8pro

---

作者: onion    時間: 2021-4-27 12:20

認同，真係不能原諒 QNAP!

回覆 2# jackwong717

---

作者: javacomhk    時間: 2021-4-27 12:20

呢的咁嘅NAS包括S 字頭，係比Internal LAN用，如果你直接駁出街，大開中門係會比人hack 架啦 。

---

作者: teampo    時間: 2021-4-27 12:54

回覆 4# javacomhk

但佢地係用私有雲去推銷：透過myQNAPcloud，NAS 就是您的個人專屬私有雲。隨時隨地都可以安全存取檔案。無需每月或每年支 ...，加上佢今次既處事態度，真係很難幫佢講說話

---

作者: jackwong717    時間: 2021-4-27 13:04




    咁唔該改名.....LAS

---

作者: javacomhk    時間: 2021-4-27 13:23

本帖最後由 javacomhk 於 2021-4-27 13:27 編輯

你屋企度木門但沒裝鐵閘，唔通比人爆架咗，要怪度木門個鎖或管理處呀。

你大開中門，怪得邊個？你第一日將個router port 比個NAS 已經應該會知道有風險啦。

---

作者: fourcows    時間: 2021-4-27 13:34

我諗好大部份人買得NAS係因為網絡智識有限及信賴NAS公司可確保資料安全;
我確信我買的NAS有大門有鐵閘.
問題佢依家鐵閘壞左, 佢知道, 但並冇積極通知客戶維修鐵閘。
中門大開是因為鐵閘失效嘛

---

作者: teampo    時間: 2021-4-27 13:39

本帖最後由 teampo 於 2021-4-27 13:42 編輯

點唔中門大開法？而又可以用雲？如果google drive有漏洞而令到你的檔案被加密而勒索，咁又係中門大開？？

對大門同大閘因為有公司去維護同提供服務，如果被人爆左，我唔覺得係自己問題，當然係去怪提供服務既公司

---

作者: jackwong717    時間: 2021-4-27 14:07






你錯得好緊要....!要比喻...
你家大廈大門發現門鎖有問題...巳通知管理處多次......幾個月都唔處理,
最後成座大廈多間單位被爆格......而且發現管理處無人看守,多家單位有留下備用鎖匙給管理處,
賊人軟易入屋爆格

---

作者: hkstanley    時間: 2021-4-27 14:12

不論你係買鐵閘, 定係木門, 或者你買層樓...

如果有人通知生產商, 話你個product係有設計問題, 仲要俾半年時間你去FIX
結果係咩?

就算你半年內FIX唔到, 你都起碼叫人暫時停咗某D port啦~

好啦, 當個個中招, 就話你仲咩唔UPDATE個NAS? 咩玩法?

---

作者: ChingTszHong    時間: 2021-4-27 15:19

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: freefdhk    時間: 2021-4-27 15:31




    你咁講不如話做咩唔用石屎封晒佢。
正常大多數 LAMP 架構好少有嚴重問題，係 Qnap 搞到個問題咁嚴重。
同埋仲要半年都修不好，又要唔警告User 有嚴重漏洞被漏出。

而家個問題應該算係 好似 Note7 咁要出新聞稿叫人更新FW / 回收既級別。

---

作者: ylkyeung    時間: 2021-4-27 17:05

本帖最後由 ylkyeung 於 2021-4-27 17:09 編輯

回覆 13# freefdhk


重要放 XF隻狗 出黎帶風向  

利申: Q,S都有用, Q記因為搬位+ 維護無開機

---

作者: javacomhk    時間: 2021-4-28 17:14

本帖最後由 javacomhk 於 2021-4-28 17:20 編輯

你地唔識起個firewall 就唔好放個NAS 出黎internet 啦，有的人仲要大開中門用uPnP 引人犯罪。衰咗咪交學費囉，可以怪邊個？
你估S 字頭好穩陣啊，好多疆屍機預備去佢個度啦。用石屎封咗佢啦，或者勤力的更新啦！

---

作者: KinChungE    時間: 2021-4-28 17:20



人地雲要長期請班人mon住有冇異常, 定期做security audit
就算真係爆鑊, 都一定仲有其他backup可以拎出黎restore

相信家用影響最大既, 都係得一份copy而冇backup既人

---

作者: jackwong717    時間: 2021-4-28 18:23

回復 15 #javacomhk

你識唔識野架，唔通router有漏洞都話我將router放出internet咩。


Android 紅米note8pro

---

作者: alanh999    時間: 2021-4-28 20:55

本帖最後由 alanh999 於 2021-4-28 20:59 編輯

回覆 7# javacomhk


    QNAP neglected security flaw reports so the golden period for patch was missed. This is 90% QNAP's fault.

---

作者: DDIP    時間: 2021-4-28 21:23

快D集體起訴Q,可能有得賠

---

作者: indigo    時間: 2021-4-28 23:04

回覆 17# jackwong717

以佢嘅 logic，就梗係用家唔啱啦。
Router 有問題就要加多隻 external firewall 先啱啦

---

作者: kk30    時間: 2021-4-28 23:19




  明明就係個產品有漏洞，但就怪啲用家唔識用firewall保護個漏洞

---

作者: testcb00    時間: 2021-4-29 00:03

本帖最後由 testcb00 於 2021-4-29 00:05 編輯

漏洞還漏洞 用家也是要具備應有的基本知識
這次事件有部分用家敗於uPnP上, 而UPnP一向被視為Security Issue
以前的Router Default Enable UPnP, 而用家唔識disable UPnP, 致使自己的NAS被Hacker 攻撃
顯然, 這次歸因是QNAP的漏洞, QNAP要負大部分責任
但用家因為缺乏基本知識, 沒能保護好自己的data, 也要負上一部分責任

---

作者: teampo    時間: 2021-4-29 01:04

回覆 22# testcb00

唔開upnp都中...基本的標準是什麼？？

---

作者: alan4k    時間: 2021-4-29 07:32

NAS 供應商為求推銷，都有推uPnP呢種方便之門，將資料保安放在次位

---

作者: javacomhk    時間: 2021-4-29 10:40




  咁你仲唔去告佢賠償？

---

作者: alanh999    時間: 2021-5-6 06:47

回覆 25# javacomhk


    I don't own any junky QNAP products anyway. They are not up to the job at all (performance, functionality, security, scalability etc.)

---

作者: javacomhk    時間: 2021-5-6 07:28

本帖最後由 javacomhk 於 2021-5-6 07:34 編輯



    我唔識用呢類 NAS嘅喎，的咁多漏洞又唔係平嘅機種我係唔會用嘅。就算係用都唔會直接放的port 出來，或者放uPnP，放出來又唔做任何firewall，風險自負。

---

作者: jackwong717    時間: 2021-5-6 08:16

回復 27 #javacomhk

又用自己來定位，
自己唔用咁有咩好討論，以為自己有防火牆好巴閉，咁我係國防做，唔通又用國防定位來睇呢個世界咩。



Android 紅米note8pro

---

作者: javacomhk    時間: 2021-5-6 09:32

本帖最後由 javacomhk 於 2021-5-6 10:57 編輯



    我用NAS但係唔用呢的咁多security 問題嘅NAS，亦唔會直接放個port出嚟，唔使乜嘢國防級嘅防護，只係一的民用嘅網絡技術就得。正如你用win10 但又直接放個port 去 win10，咁你比人hack 咗，你又去怪microsoft有bug 有漏洞引致佢要賠償比你啊。

---

作者: wunit    時間: 2021-5-6 09:49

簡單D問, 係唔係當初冇比佢自動UPNP在Router做左個port 8080 & 8200的fordwarding就唔會中哩個漏洞 ?

---

作者: jackwong717    時間: 2021-5-6 09:56

本帖最後由 jackwong717 於 2021-5-6 10:09 編輯



    係.....就咁睇即係用UPNP去SET的話...即係用左預設PORT8080同8200了
所以我成日都想講唔好用MYQNAPCLOUD去SET port forward
要係ROUTER去SET port forward(改第個PORT)

1. Web 伺服器的 RCE 漏洞

該漏洞容許黑客透過 NAS Web 伺服器服務上 (默認TCP Port 8080) 透過 CGI 執行任何 shell 命令，完全無需身份驗證即可觸發遠程代碼執行，影響暴露於 Internet 的所有 QNAP NAS 設備

2. DLNA 伺服器的任意文件寫入漏洞

該漏洞容許黑客透過 DLNA 伺服器服務上 (默認 Port 8200)，在任何的位置創建任意文件數據訪問，並處理 Port 8200 上的 UPNP 請求，最終可以將該漏洞可以讓黑客觸發遠程代碼執行。

---

作者: tomcools    時間: 2021-5-6 11:13

對於呢到好多師兄0黎講, 呢D SETTING係基本知識, 但對於一般家用及小公司根本冇呢方面既知識, 佢地都係信廣告亦係各NAS公司主要既賣點簡單,方便,安全. 如果單計HW點會值咁多錢~
所以個D怪USER有問題唔識呢樣個樣個D人, 有冇想過就係NAS公司一直係推呢D賣點去吸引呢群人買?

---

作者: tek2    時間: 2021-5-6 13:04

回復 30 #wunit

現時應係HBS3有後門出事, 入面有q記放入hard coded candidate 可以bypass用家的戶口同密碼去執行指令, 有指開咗HBS3就有機會中.

另外2 apps 都有hard coded. Q記啲cloud同apps都係信唔過因太多漏洞, 唔用啲apps要disable或uninstall先.



via HKEPC Reader for Android

---

作者: tek2    時間: 2021-5-6 13:29

回復 32 #tomcools

同意, qnap就係咁推呢啲賣點. 而qnap之前處理漏洞太鬆懈現時先追修.

Walter呢位真奇才, 用自己名同gmail去hard coded啲apps. 不過好似離開qnap了, 總之qnap內部安全意識不足, 一係轉會一係斬腳趾避沙蟲當部機係usb硬碟用.

via HKEPC Reader for Android

---

作者: it_jobs    時間: 2021-5-6 13:33

精彩精彩, 令我想起一段住事.

某大戶人家想請護衛員, 高薪糧準, 應徴人龍水蛇春咁長嘅
問到護衛有咩專長, 個個都答自己百般武藝, 一腳開山, 一掌劈石.
耐何在都市, 無山要開, 無石可劈, 又怕傷到人.
護衛只好自備徒弟當對手, 睇下護衛有咩本領.
一時5連鞭, 一時隔山打牛, 一時護身氣勁, 徒弟自然被打到如同落花流水.
千選萬選, 選左一個高大威猛.

有日護衛同個小姐出外, 護衛眼見土匪流氓在前, 佢就龜縮在後.
小姐比人調戲,  護衛唔敢出聲.
小姐比人強暴, 護衛返左屋企.

事後, 東主問護衛當年為何不出手.
護衛但說:  
小姐出街就預左比人強暴, 佢又唔搵石屎封住自己, 衣服又只包全身, 露出手眼.
小姐唔想比人強暴, 應該學會百般武藝, 只學會柔道柔術, 又唔學空手台拳, 刀槍劍擊,

根本係係小姐攞黎比人強暴!

自些傳出, 各家小姐爭相學會柔道柔術, 空手台拳, 洪拳詠東, 刀槍劍擊, 東洋西洋古今中外各式流派.  洋服旗袍都改成盔甲動力服, 外甲銅鐵鋼鈦乜都有, 係無石屎!

無人再請護衛.  天下從此太平

---

作者: it_jobs    時間: 2021-5-6 13:35



故事教訓我地, 唔好諗住有錢請個護衛可保一家平安.
護衛都係做下樣, 一時耍下花拳秀腿, 一時裝神弄鬼.

都係慳返啲錢, 自己習武吧啦.

---

作者: jackwong717    時間: 2021-5-6 13:48




    公司D資料好`重要....老闆使唔使讀番D野...來MON住個IT友呀?
最大漏洞係人呀

---

作者: it_jobs    時間: 2021-5-6 14:05



你公司用咩架構?

我地公司就算 dba, 平時都攞唔到 db 啲內容黎睇喎.

---

作者: jackwong717    時間: 2021-5-6 14:17




  聽聞.......華X.......都係靠人為漏洞....關咩架構事既咩??
我咩都唔識架

---

作者: it_jobs    時間: 2021-5-6 14:37

本帖最後由 it_jobs 於 2021-5-6 14:42 編輯


講下你公司點防止先啦.
唔好又黎果啲我好勁, 勁到你睇唔明, 唔講比你知.
如果你咁勁就算啦, 你叻, 我錯.
bye bye

---

作者: alanh999    時間: 2021-5-6 20:07

回覆 27# javacomhk


    So what device do you own?

---

作者: javacomhk    時間: 2021-5-6 20:37



I use win10, mac m1 and raspberry pi.

---

作者: alanh999    時間: 2021-5-6 20:53

回覆 42# javacomhk


    Um, not really NAS

---

作者: javacomhk    時間: 2021-5-7 01:28




    唔係一定S字頭同Q字頭先係NAS嘅，一部電腦有OS有Lan card 加組Raid HD就係 NAS。

---

作者: vtrchan    時間: 2021-5-7 01:49



唔緊要啦，Q~又唔係真係咁多人用，影響唔會好大啫⋯⋯
我隻Q~都只係用來做backup嘅backup，所以對我嚟講無咩影響⋯⋯ 只要隻S～無事就萬事大吉⋯⋯

---

作者: fakeman    時間: 2021-5-7 10:55




    NAS 都唔一定要 RAID 嘅, 有 network 咪得

---

作者: fakeman    時間: 2021-5-7 10:57




    對家識 port scanning 的話改 port 都係會知嘅......你 web server 有 bug 點都會奶嘢啦

---

作者: jackwong717    時間: 2021-5-7 11:11

回復 47 #fakeman

未發生事件前，我只係改左登入port,無中招，即代表漏洞係經8080唔使密碼都入到。


Android 紅米note8pro

---

作者: tek2    時間: 2021-5-7 15:24

回復 47 #fakeman

今次主要係HBS3呢個app有後門, 開發人員係app裏放咗login/password可以bypass用戶設定管理員戶口去nas執行指令. 有傳無開port但有開app就可中. 冇開app就無事.

Qnap forum 有人係code入面揾到login同password好可能係walter/walter. 加上另外有名有姓gmail. 推算應該係用咗qnap technical manager資料做後門登入.

4月16 update有fixed漏洞可擋qlocker, 但好似要出事後先至有update去清qlocker同另外2 apps後門


via HKEPC Reader for Android

---

作者: jackwong717    時間: 2021-5-7 15:32

回復 49 #tek2

我一直都有用hbs3,24online,有開port,無事喎。

Android 紅米note8pro

---

作者: tek2    時間: 2021-5-7 17:26

回復 50 #jackwong717

有冇update 4月中patch？ 有可能update咗無事.

仲有你無事唔代表其他人無事, 而且佢哋可以隨便放個後門喺啲apps, 有可能連q記services都有事.



via HKEPC Reader for Android

---

作者: yuna    時間: 2021-5-9 10:52



睇緊果陣出既廣告

圖片附件: QNAP.jpg (2021-5-9 10:51, 132.41 KB) / 下載次數 94
https://h0.hkepc.com/forum/attachment.php?aid=2262599&k=1aad46247ed80a942ee0b8b4f5fa68d2&t=1781407776&sid=1ljbHoQL9CA