Nieuws
image

10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is

woensdag 25 mei 2022, 10:30 door Redactie, 5 reacties

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware.

De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd.

Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen.

Reacties (5)
25-05-2022, 17:14 door BerryVHouten
Via o.a. Shodan vindt je er een hele hoop in Nederland. Men heeft werkelijk waar geen idee dat deze 'externe harddisks' wagenwijd openstaan. Want wat werkt dat werkt! Helaas werkt dit niet zo met op het internet aangesloten apparaten.

Beheerderswachtwoord wijzigen en de software updaten van de NAS is vaak al erg lastig voor de gemiddelde gebruiker. Er moet vaak iets gebeuren zodat men er alsnog mee aan de slag gaat. Helaas is de schade dan al niet meer te overzien gezien het feit dat veel IB-aangiftes ook op een NAS staan (klaargestoomd voor o.a. identiteitsfraude).
25-05-2022, 18:40 door spatieman
ik snap niet waarom upnp nog steeds actief staat op dit soort hardware.
25-05-2022, 20:48 door BerryVHouten
Door spatieman: ik snap niet waarom upnp nog steeds actief staat op dit soort hardware.
Ook op je router en/of modem is UPnP dikwijls actief. Dit is in de meeste gevallen eenvoudig uit te schakelen.
26-05-2022, 10:54 door Anoniem
Door BerryVHouten:
Door spatieman: ik snap niet waarom upnp nog steeds actief staat op dit soort hardware.
Ook op je router en/of modem is UPnP dikwijls actief. Dit is in de meeste gevallen eenvoudig uit te schakelen.
Ja maar dit soort problemen ontstaat alleen als ZOWEL op je router ALS OP JE NAS die UPnP functie aan staat.
Dus deze partijen hebben beide schuld. Routerfabrikanten moeten UPnP default uit zetten en op de pagina waar het
aangezet wordt duidelijk aangeven wat het risico is, en wellicht een selectieve mogelijkheid aanbieden zodat je het
per client al of niet toe kunt laten. Dan kan je X-Box wel UPnP gebruiken en je printer/scanner of je NAS niet, bijvoorbeeld.
Daarnaast zou ook een NAS niet default moeten proberen via UPnP poortjes naar zich open te zetten, maar alleen
nadat er bepaalde "veilige settings" gedaan zijn zoals het instellen van een goed wachtwoord en het enablen van
automatische firmware updating.
26-05-2022, 17:58 door Anoniem
Tip voor iedereen hier die nog denkt dat portforwarding (al dan niet via UPnP) de enige manier is waarop devices van buiten bereikt worden :

Nope - dat is allang niet meer het geval - juist omdat het zo vaak niet "werkt" voor de gebruiker - en dan vaak ook nog met een DDNS dienst samen moet gaan om een min of meer stabiele naam/URL te hebben.
Dan zijn er ook steeds meer plekken in de wereld waar carrier NAT gebruikt wordt en dan is 'direct bereikbare services' al helemaal lastig.

Kortom - dat probleem wordt anders opgelost :

De vendors leveren een cloud-dienst die als reverse proxy fungeert . NAS zet zelf sessie naar buiten op, en wordt bereikbaar via een vaste URL (iets als mysynology/ID/ ) .

Synology : https://kb.synology.com/en-af/DSM/help/DSM/Tutorial/cloud_set_up_quickconnect?version=6
QNAP : https://www.qnap.com/solution/myqnapcloud-link/nl-nl/

Voor rechtstreekse UDP sessies (allerlei real-time dingen als voice,video,gaming) worden STUN servers gebruikt om een open kanaal door een NAT-device te mappen en dan te delen met de partij die naar binnen moet.
https://en.wikipedia.org/wiki/STUN

Het klagen over UPnP - en de gedachte dat je klaar bent met beveiligen als je UPnP hebt uitgezet - fors achterhaald .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search