image

Ransomware infecteert NAS-systemen van zowel QNAP als Synology

woensdag 11 augustus 2021, 10:48 door Redactie, 12 reacties

Onderzoekers waarschuwen voor ransomware die zowel NAS-systemen van QNAP als Synology kan infecteren. Het gaat om de eCh0raix-ransomware. Eerdere versies van deze ransomware werden apart ingezet tegen of QNAP of Synology NAS-systemen. De nu ontdekte variant kan apparaten van beide fabrikanten aanvallen.

In het geval van QNAP-systemen maakt de ransomware hiervoor gebruik van een kwetsbaarheid in Hybrid Backup Sync (HBS 3). HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. In mei werd het beveiligingslek vervolgens misbruik door de Qlocker-ransomware.

Nu hebben ook de ontwikkelaars van de eCh0raix-ransomware deze kwetsbaarheid aan hun arsenaal toegevoegd, meldt securitybedrijf Palo Alto Networks. In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd.

Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology. In het geval van een succesvolle aanval worden bestanden op het NAS-systeem versleuteld en moeten slachtoffers losgeld betalen voor het ontsleutelen.

Reacties (12)
11-08-2021, 13:11 door Anoniem
Hebben mensen dan deze dingen rechtstreeks aan internet hangen?
11-08-2021, 13:19 door Anoniem
In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd
Kop klopt niet. Als je Synology doelwit bent wilt het toch niet gelijk zeggen dat je gehackt bent.

Die onderzoekers zeggen "SOHO users are attractive to ransomware operators looking to attack bigger targets because attackers can potentially use SOHO NAS devices as a stepping stone in supply chain attacks on large enterprises"
Daar geloof ik helemaal niets van dat consumenten hun NAS device gebruiken als SS voor het bedrijfsnetwerk.
Consumenten weten niet eens hoe dat moet en een IT'er zal zijn laptop gebruiken.
11-08-2021, 14:20 door Anoniem
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Hoe bedoel je rechtstreeks?
Als je vraag is of je door de firewall heen, een bepaalde service op de NAS (bv de HBS) via een bepaalde port kunt bereiken dan is het antwoord. Ja natuurlijk. Wat heb je er anders aan?
11-08-2021, 15:14 door Briolet
Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology.

Dat onderzoek lijkt niet te kloppen, want 3500 Synology nassen is onrealistisch laag. Volgens mij hadden de onderzoekers dit ook zelf moeten inzien en hun zoekmethode moeten herzien.
11-08-2021, 15:29 door Anoniem
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
11-08-2021, 16:42 door Anoniem
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

het engelse qnap forum staat bol van de gebruikers die in de problemen zijn gekomen doordat hun NAS via het www te bereiken is.

Qnap biedt myqnapcloud. Hiermee kan je in een beschermede omgeving je NAS benaderen.
11-08-2021, 16:48 door Anoniem
Door Anoniem:
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Daar geloof ik niks van. Die port forward zullen ze namelijk in de firewall moeten doen en niet op de NAS. De meeste mensen gebruiken die NAS alleen voor in eigen huis. Via het internet doen ze via Google photo etc. Alleen een malloot biedt een NAS via het internet aan via windows smb.
11-08-2021, 17:45 door Briolet
Door Anoniem:
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.

Je kunt ze ook zonder portforward aan het internet hangen. Omdat dit forwarden voor veel mensen te lastig is, heeft Synology al jaren geleden het QuickConnect protocol geïntroduceerd.
Persoonlijk vind ik het waardeloos omdat alle het verkeer dan via de Synolgy servers loopt, maar uit veiligheidsoogpunt een stuk beter dan poorten in de router forwarden door leken.
11-08-2021, 20:14 door Anoniem
Door Briolet:
Je kunt ze ook zonder portforward aan het internet hangen. Omdat dit forwarden voor veel mensen te lastig is, heeft Synology al jaren geleden het QuickConnect protocol geïntroduceerd.
Persoonlijk vind ik het waardeloos omdat alle het verkeer dan via de Synolgy servers loopt, maar uit veiligheidsoogpunt een stuk beter dan poorten in de router forwarden door leken.
Is dat zo? Is het niet alleen een soort VPN tunnel? Doen die Synology servers dan iets aan hardening waardoor je niet
kwetsbaar zou zijn in het onderhavige geval?
12-08-2021, 09:49 door Briolet - Bijgewerkt: 12-08-2021, 09:52
Door Anoniem:
Door Briolet:
Je kunt ze ook zonder portforward aan het internet hangen. Omdat …
Is dat zo? Is het niet alleen een soort VPN tunnel? Doen die Synology servers dan iets aan hardening waardoor je niet
kwetsbaar zou zijn in het onderhavige geval?

Het is inderdaad alleen een soort tunnel die toegang geeft tot de inlogpagina. Dit helpt echter tegen dit soort aanvallen waarbij alle IP adressen afgetast worden om te kijken of er een Synology nas achter hangt. De nas zal dan niet bij Shodan in de lijstjes verschijnen.

Het helpt niet tegen aanvallers die bij Synology allerlei mogelijke QuickConnect domeinnamen proberen. Maar ik kan me voorstellen dat Synology ook een bruteforce bescherming op deze servers heeft tegen het lukraak proberen van alle mogelijk domeinnamen.
14-08-2021, 17:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Daar geloof ik niks van. Die port forward zullen ze namelijk in de firewall moeten doen en niet op de NAS. De meeste mensen gebruiken die NAS alleen voor in eigen huis. Via het internet doen ze via Google photo etc. Alleen een malloot biedt een NAS via het internet aan via windows smb.

Misschien moet je eerst even kijken op Shodan.IO voordat je reageert.
Er zijn er wel degelijk massa's die de NAS rechtstreeks benaderbaar maken voor de hele wereld middels een port-forward.
Admin interface, de foto bibliotheek, muziek, en file sharing via 'ds-file'. Nee, vaak niet Windows SMB inderdaad....
18-08-2021, 09:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hebben mensen dan deze dingen rechtstreeks aan internet hangen?

Gebeurd echt zoveel, voornamelijk thuis-NASjes waar mensen een portforward voor aanmaken. Shodan.io staat er vol mee.
Daar geloof ik niks van. Die port forward zullen ze namelijk in de firewall moeten doen en niet op de NAS. De meeste mensen gebruiken die NAS alleen voor in eigen huis. Via het internet doen ze via Google photo etc. Alleen een malloot biedt een NAS via het internet aan via windows smb.

Misschien moet je eerst even kijken op Shodan.IO voordat je reageert.
Er zijn er wel degelijk massa's die de NAS rechtstreeks benaderbaar maken voor de hele wereld middels een port-forward.
Admin interface, de foto bibliotheek, muziek, en file sharing via 'ds-file'. Nee, vaak niet Windows SMB inderdaad....
Zoals al eerder door een ander gesteld: natuurlijk, wat heb je er anders aan. Maar "rechtstreeks" verdient wat toelichting.
Eerst moet de firewall van de Synology worden ingesteld.
Ook heeft Synolgy een reverse proxy om alle sites (incl. admin pagina) alleen via poort 443 open te zetten.
Synology heeft ook (GEO)ip blocking om de aanvalsvector te verkleinen.
En zo zijn er nog veel meer maatregelen (2FA bijvoorbeeld).

Maar tegen onwetendheid is niets bestand.

--THE ONE--
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.