image

QNAP achterhaalt hoe Deadbolt-ransomware NAS-systemen infecteert

maandag 31 januari 2022, 15:59 door Redactie, 6 reacties

QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend.

Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen.

Geforceerde firmware-update

Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen.

QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld.

In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist.

Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt.

De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk.

Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen.

Reacties (6)
31-01-2022, 16:17 door Power2All
Ook al is het vervelend als een geforceerde patch wordt gepushed, ik heb geen zin om traffic te ontvangen van NAS servers die proberen in mijn server(s) te komen, of te scannen. Tegenwoordig updaten systeem beheerders weinig tot bar slecht, en dan hebben wij te maken met al die ongein omdat mensen te beroerd zijn te upgraden.
Ja ik snap dat sommige updates problemen "kunnen" opleveren, maar gooi dan alle uitgaande traffic dicht, zodat anderen op het internet hier geen last van hebben.

Goed voorbeeld was de hele MSSQL exploit debacle van vroeger, toen China met on-gepatchde servers heel het internet bijna plat legde... https://en.wikipedia.org/wiki/SQL_Slammer
Zal nu niet meer zo heel snel gebeuren, maar er zijn nog teveel nalatige admins die alles open en bloot installeren, en daar hebben wij als competente server beheerders last van, wanneer die gehacked worden...
31-01-2022, 17:05 door Anoniem
Gaan we https://www.security.nl/posting/740594/QNAP+installeert+automatisch+update+op+NAS-systemen+tegen+ransomware hier voortzetten?

Indien mensen aangeven GEEN updates te willen blijf je als bedrijf af van die spullen. Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn. En anders is het een geval van pech dat je toch getroffen wordt.
31-01-2022, 23:10 door Anoniem
Door Anoniem:Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn.
Maar DAT HEBBEN ZE NIET!
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.
01-02-2022, 07:31 door Anoniem
Door Anoniem:
Door Anoniem:Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn.
Maar DAT HEBBEN ZE NIET!
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.

Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?
01-02-2022, 15:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn.
Maar DAT HEBBEN ZE NIET!
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.

Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?

Dat zul je wel moeten. Als andere niet gepatchte systemen een DDoS op jou uitvoeren ben je weg, hoe goed je
het zelf ook allemaal weet.
01-02-2022, 16:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn.
Maar DAT HEBBEN ZE NIET!
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.

Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?

Dat zul je wel moeten. Als andere niet gepatchte systemen een DDoS op jou uitvoeren ben je weg, hoe goed je
het zelf ook allemaal weet.

Als ze een aanval uitvoeren op mijn enegie leverancier heb ik ook geen verbinding meer, als, als ,als.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.