Ransomware infecteert NAS-systemen van zowel QNAP als Synology
Onderzoekers waarschuwen voor ransomware die zowel NAS-systemen van QNAP als Synology kan infecteren. Het gaat om de eCh0raix-ransomware. Eerdere versies van deze ransomware werden apart ingezet tegen of QNAP of Synology NAS-systemen. De nu ontdekte variant kan apparaten van beide fabrikanten aanvallen.
In het geval van QNAP-systemen maakt de ransomware hiervoor gebruik van een kwetsbaarheid in Hybrid Backup Sync (HBS 3). HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. In mei werd het beveiligingslek vervolgens misbruik door de Qlocker-ransomware.
Nu hebben ook de ontwikkelaars van de eCh0raix-ransomware deze kwetsbaarheid aan hun arsenaal toegevoegd, meldt securitybedrijf Palo Alto Networks. In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd.
Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology. In het geval van een succesvolle aanval worden bestanden op het NAS-systeem versleuteld en moeten slachtoffers losgeld betalen voor het ontsleutelen.
Die onderzoekers zeggen "SOHO users are attractive to ransomware operators looking to attack bigger targets because attackers can potentially use SOHO NAS devices as a stepping stone in supply chain attacks on large enterprises"
Daar geloof ik helemaal niets van dat consumenten hun NAS device gebruiken als SS voor het bedrijfsnetwerk.
Consumenten weten niet eens hoe dat moet en een IT'er zal zijn laptop gebruiken.
Hoe bedoel je rechtstreeks?
Als je vraag is of je door de firewall heen, een bepaalde service op de NAS (bv de HBS) via een bepaalde port kunt bereiken dan is het antwoord. Ja natuurlijk. Wat heb je er anders aan?
Dat onderzoek lijkt niet te kloppen, want 3500 Synology nassen is onrealistisch laag. Volgens mij hadden de onderzoekers dit ook zelf moeten inzien en hun zoekmethode moeten herzien.
Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
het engelse qnap forum staat bol van de gebruikers die in de problemen zijn gekomen doordat hun NAS via het www te bereiken is.
Qnap biedt myqnapcloud. Hiermee kan je in een beschermede omgeving je NAS benaderen.
Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Je kunt ze ook zonder portforward aan het internet hangen. Omdat dit forwarden voor veel mensen te lastig is, heeft Synology al jaren geleden het QuickConnect protocol geïntroduceerd.
Persoonlijk vind ik het waardeloos omdat alle het verkeer dan via de Synolgy servers loopt, maar uit veiligheidsoogpunt een stuk beter dan poorten in de router forwarden door leken.
Je kunt ze ook zonder portforward aan het internet hangen. Omdat dit forwarden voor veel mensen te lastig is, heeft Synology al jaren geleden het QuickConnect protocol geïntroduceerd.
Persoonlijk vind ik het waardeloos omdat alle het verkeer dan via de Synolgy servers loopt, maar uit veiligheidsoogpunt een stuk beter dan poorten in de router forwarden door leken.
kwetsbaar zou zijn in het onderhavige geval?
Je kunt ze ook zonder portforward aan het internet hangen. Omdat …
kwetsbaar zou zijn in het onderhavige geval?
Het is inderdaad alleen een soort tunnel die toegang geeft tot de inlogpagina. Dit helpt echter tegen dit soort aanvallen waarbij alle IP adressen afgetast worden om te kijken of er een Synology nas achter hangt. De nas zal dan niet bij Shodan in de lijstjes verschijnen.
Het helpt niet tegen aanvallers die bij Synology allerlei mogelijke QuickConnect domeinnamen proberen. Maar ik kan me voorstellen dat Synology ook een bruteforce bescherming op deze servers heeft tegen het lukraak proberen van alle mogelijk domeinnamen.
Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Misschien moet je eerst even kijken op Shodan.IO voordat je reageert.
Er zijn er wel degelijk massa's die de NAS rechtstreeks benaderbaar maken voor de hele wereld middels een port-forward.
Admin interface, de foto bibliotheek, muziek, en file sharing via 'ds-file'. Nee, vaak niet Windows SMB inderdaad....
Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Misschien moet je eerst even kijken op Shodan.IO voordat je reageert.
Er zijn er wel degelijk massa's die de NAS rechtstreeks benaderbaar maken voor de hele wereld middels een port-forward.
Admin interface, de foto bibliotheek, muziek, en file sharing via 'ds-file'. Nee, vaak niet Windows SMB inderdaad....
Eerst moet de firewall van de Synology worden ingesteld.
Ook heeft Synolgy een reverse proxy om alle sites (incl. admin pagina) alleen via poort 443 open te zetten.
Synology heeft ook (GEO)ip blocking om de aanvalsvector te verkleinen.
En zo zijn er nog veel meer maatregelen (2FA bijvoorbeeld).
Maar tegen onwetendheid is niets bestand.
--THE ONE--
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.