Qnap rekommenderar: exponera inte er Nas mot internet

De senaste månaderna har Qnaps Nas-ägare plågats av utpressningsattacker. Genom att utnyttja sårbarheter i Qnaps operativsystem och tilläggspaket har angripare lyckats utpressningskryptera internetexponerade Nas-enheter. Nu har problemen blivit så allvarliga att till och med Qnap ber användare att inte exponera Nas-enheter mot internet.

Nas-enheter kräver större underhåll än deras utseende ger sken av. Ifall en Nas-enhet görs tillgänglig över internet behöver den underhållas på samma sätt som en webbserver. En Nas-enhet är alltså inte bara en låda med hårddiskar som kan stå och sköta sig själv år efter år. I takt med att Nas-tillverkarna har gjort sina operativsystem alltmer funktionsrika och förinstallerat en mängd olika tilläggspaket har attackytan dessutom ökat.

Aktiv attack, ingen patch

Den senaste Qnap-sårbarheten ligger i tilläggspaketet Roon Server som används för att hantera musik. Sårbarheten används i aktiva attacker och det finns ingen uppdatering som åtgärdar den. Qnap rekommenderar därför att inaktivera Roon Server i väntan på en uppdatering. Det framgår tyvärr inte ifall Roon Server är aktiverad som standard på några av Qnaps Nas-modeller. De rekommenderar också att inte exponera Nas-enheter mot internet.

QNAP recommends users not to expose their NAS to the internet. Before a security update is available from Roon Labs, we also recommend disabling Roon Server to prevent potential attacks.

QNAP Security Advisor QSA-21-17

Nas bakom brandvägg

I avsnitt 115 av Bli säker-podden diskuterade vi ifall molnlagringstjänster eller Nas-enheter är det bästa stället att spara filer. Då förklarade vi att Nas-lagring ger flera fördelar samtidigt som det ställer stora krav på den som ansvarar för Nas-enheten.

En åtgärd som effektivt minimerar utsattheten är att inte göra Nas-enheten tillgänglig över internet. Då kan inte Nas-enheten attackeras av botarna på internet som nu infekterar Qnaps Nas-enheter på löpande band. För att Nas-enheten då ska kunna infekteras måste den antingen attackeras från en infekterad dator i det lokala nätverket eller ansluta ut på internet för att ladda ned en infekterad fil. Det sistnämnda skulle kunna inträffa ifall Nas-enheten används i fildelningssammanhang.

Ifall Nas-enheten behöver vara åtkomlig över internet görs det lämpligtvis via VPN. I organisationssammanhang kan medarbetarna ansluta via en VPN-tunnel för att komma åt Nas-resurserna. I konsumentsammanhang är det desto klurigare eftersom långt ifrån alla konsumentroutrar har inbyggda VPN-servrar.

Om VPN-alternativet inte är gångbart är det åtminstone bättre att ansluta via Nas-tillverkarens eventuella molntjänst än att öppna portar i routern eller brandväggen.

Tips för att skydda din Nas

2019 skrev vi artikeln ”Nas-enheter i riskzonen för utpressnings­trojaner” efter att många Synology Disk Station-ägare fallit offer för utpressningsattacker. Den gången möjliggjordes inte attackerna av sårbarheter i Synologys operativsystem utan av svaga lösenord. Med anledning av detta publicerade vi en guide med tio tips för att hålla sin Nas-enhet säker. Vi har inte gjort någon liknande guide för Qnaps operativsystem, men rekommendationerna är desamma.

Varning! Dessa rekommendationer hjälper inte när det finns kända sårbarheter som inte är åtgärdade. I väntan på att Qnap tar itu med problemen bör inte deras Nas-enheter vara åtkomliga över internet.

I guiden poängterar vi vikten av säkerhetskopiering. En vanlig missuppfattning är att Raid (spegling av hårddiskar) skulle fungera som säkerhetskopiering. Så är inte fallet. Raid skyddar enbart mot hårddiskkrascher. Raid skyddar inte mot utpressningstrojaner, inbrottstjuvar, översvämningar eller bränder. Även Nas-enheter behöver därför säkerhetskopieras.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.