10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is
Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware.
De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd.
Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen.
Beheerderswachtwoord wijzigen en de software updaten van de NAS is vaak al erg lastig voor de gemiddelde gebruiker. Er moet vaak iets gebeuren zodat men er alsnog mee aan de slag gaat. Helaas is de schade dan al niet meer te overzien gezien het feit dat veel IB-aangiftes ook op een NAS staan (klaargestoomd voor o.a. identiteitsfraude).
Dus deze partijen hebben beide schuld. Routerfabrikanten moeten UPnP default uit zetten en op de pagina waar het
aangezet wordt duidelijk aangeven wat het risico is, en wellicht een selectieve mogelijkheid aanbieden zodat je het
per client al of niet toe kunt laten. Dan kan je X-Box wel UPnP gebruiken en je printer/scanner of je NAS niet, bijvoorbeeld.
Daarnaast zou ook een NAS niet default moeten proberen via UPnP poortjes naar zich open te zetten, maar alleen
nadat er bepaalde "veilige settings" gedaan zijn zoals het instellen van een goed wachtwoord en het enablen van
automatische firmware updating.
Nope - dat is allang niet meer het geval - juist omdat het zo vaak niet "werkt" voor de gebruiker - en dan vaak ook nog met een DDNS dienst samen moet gaan om een min of meer stabiele naam/URL te hebben.
Dan zijn er ook steeds meer plekken in de wereld waar carrier NAT gebruikt wordt en dan is 'direct bereikbare services' al helemaal lastig.
Kortom - dat probleem wordt anders opgelost :
De vendors leveren een cloud-dienst die als reverse proxy fungeert . NAS zet zelf sessie naar buiten op, en wordt bereikbaar via een vaste URL (iets als mysynology/ID/ ) .
Synology : https://kb.synology.com/en-af/DSM/help/DSM/Tutorial/cloud_set_up_quickconnect?version=6
QNAP : https://www.qnap.com/solution/myqnapcloud-link/nl-nl/
Voor rechtstreekse UDP sessies (allerlei real-time dingen als voice,video,gaming) worden STUN servers gebruikt om een open kanaal door een NAT-device te mappen en dan te delen met de partij die naar binnen moet.
https://en.wikipedia.org/wiki/STUN
Het klagen over UPnP - en de gedachte dat je klaar bent met beveiligen als je UPnP hebt uitgezet - fors achterhaald .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Specialist Informatiebeveiliging
De directie Information Technology Services (ITS) is op zoek naar een Technisch Specialist Informatiebeveiliging. Je werkt in het team Security Operations. Ben jij klantgericht? En stel je de gebruiker centraal? Ga je voor kwaliteit en betrouwbaarheid in je dienstverlening? Dan ontmoeten we je graag.
Full Stack Developer (Python)
Lijkt het jou leuk om je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Certified Secure maakt gebruik van de latest tech-stacks, wij bouwen praktisch alles in Python, maar soms ook in Java, C, Assembly of PHP.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?