QNAP NAS – celosvetovo zneužívané zraniteľnosti sieťových úložísk

CSIRT.SK prináša súhrn zraniteľností a informácie o aktuálnych a minulých ransomvérových kampaniach, ktoré cielia na zariadenia QNAP NAS. Zariadenia, ktoré poskytujú sieťové úložisko s prístupom z internetu sú veľkým lákadlom pre útočníkov. Závažné bezpečnostné zraniteľnosti môžu umožniť potencionálnym útočníkom prevziať kontrolu nad zraniteľným NAS zariadením, odcudziť dáta, zneužiť zariadenie na šírenie rôzneho malvéru, a tak kompromitovať rozsiahlejšiu časť infraštruktúry organizácie.

Dôsledky

  • Narušenie integrity, dôvernosti a dostupnosti
  • Odcudzenie citlivých dát spoločnosti
  • Zneužitie dát na vydieranie spoločnosti
  • Možná kompromitácia infraštruktúry organizácie

Opis činnosti

Útočníci na sieťové úložiská často cielia pre uložené citlivé dáta, ktoré by mohli odcudziť, alebo zašifrovať a požadovať výkupné za ich dešifrovanie, respektíve ich nezverejnenie. V poslednom čase boli pozorované kampane šíriace ransomvér Qlocker a AgeLocker. Pripomíname aj ransomvér eCh0raix či Muhstik, ktoré v minulosti zneužívali zraniteľnosti a cielili útoky na zariadenia QNAP NAS. Šifrujú uložené súbory využitím rôznych šifrovacích algoritmov.

Ransomvér Qlocker

Zatiaľ čo väčšina kyberzločineckých skupín venuje svojmu malvéru mnoho času na vývoj, aby docielili efektivitu a funkcionalitu svojho šifrovacieho nástroja, skupina okolo ransomvéru Qlocker zneužila už existujúci program, ktorý mnohí poznáme a používame práve pre zvýšenie bezpečnosti citlivých dát. Skupina útočí na zariadenia QNAP NAS, ktoré sú prístupné z internetu. Pomocou nedávno zverejnených bezpečnostných zraniteľností vzdialene importuje a spúšťa archivačný nástroj 7zip so zabudovaným šifrovacím algoritmom. Týmto spôsobom sa podarilo skupine zašifrovať dáta na tisíckach zariadení po celom svete a docieliť, aby im viac ako 500 organizácií zaplatilo výkupné.

Spoločnosť QNAP v odpovedi na cielené, plošné útoky proti svojim zariadeniam aktívne kontinuálne pracuje na aktualizáciách svojho produktu Malware Remover. Slúži na predchádzanie a pomoc pri útokoch na zraniteľné zariadenia.

Spoločnosť QNAP vydala odporúčania voči cieleným útokom ransomvérom Qlocker.

Ransomvér AgeLocker

Ransomvér bol spozorovaný prvýkrát v Júli 2020. Útočníci sa ním zameriavajú na zariadenia QNAP NAS a zneužívajú zraniteľnosti firmvéru zariadenia (QTS). Ransomvér dostal názov po šifrovacom algoritme, ktorý útočníci zneužívajú pre šifrovanie súborov (AGE). Spoločnosť odporúča aktívne kontrolovať dostupnosť a včas inštalovať najnovšie aktualizácie zariadenia QNAP NAS. Najspoľahlivejšia ochrana pred napadnutím je samozrejme nevystavovať svoje sieťové úložisko do siete internet. Jedným z najlepších riešení, ak potrebujete vzdialený prístup, je obmedziť prístup k sieťovému úložisku len cez virtuálnu privátnu sieť (VPN).

Ransomvér eCh0raix

V júni 2019 začali celosvetovo pribúdať hlásenia o nových ransomvérových útokoch, kedy si obete našli na svojich sieťových úložiskách súbory s príponou .encrypt. Útočníci zneužívali zraniteľnosti firmvéru QTS (CVE-2018-19943, CVE-2018-19949 a CVE-2018-19953), či techniku hádania hesiel (brute-force). Keďže ransomvér prešiel značným vývojom, aktuálne po ľubovoľnom zneužití prístupu a zašifrovaní súborov týmto ransomvérom nie je možné bezplatne súbory dešifrovať. V tejto časti by sme chceli upriamiť Vašu pozornosť na dostatočne frekventované zálohovanie vašich súborov a správne uschovávanie záloh.

Frekvencia tvorenia záloh sa plánuje v závislosti od obsahu, ktorý chceme zálohovať. Kritické dáta, nutne potrebné pre chod organizácie by ste mali zálohovať minimálne raz denne. Pokiaľ ide o dôležité dáta, frekvencia by mala byť nastavená minimálne na týždeň. Plné zálohy, na ktoré budete viazať doplnkové frekventovanejšie zálohy a zároveň uchovávať aj ostatné, doteraz nezaradené dáta, by ste mali vykonávať minimálne raz mesačne. Veľmi dôležité je tieto zálohy kontrolovať, či sú v prípade potreby funkčné a uchovávať ich offline na mieste s obmedzeným fyzickým prístupom.

Ransomvér Mushtik

Ransomvér, ktorý sa zameriaval na zariadenia QNAP, na ktorých bol spustený a online prístupný program phpMyAdmin pre správu MySQL. Útočníci využívajúci ransomvér Mushtik najčastejšie útočili hádaním hesiel (brute-force), a tiež sa určitú dobu snažili preniknúť do organizácií spear phishingovými kampaňami. S rôznymi verziami ransomvéru Mushtik sa kyberzločinecké skupiny zameriavali aj na zariadenia so systémom Windows.

Keďže najrozšírenejšia technika prieniku do zariadenia a rozšírenia ransomvéru bola technika tvrdého hádania hesla (brute-force), pripomíname dôležitosť mať dostatočne silné heslo s adekvátnou bezpečnostnou politikou vynucujúcou jeho pravidelnú obmenu. Dôležité je tiež blokovanie pripojenia po určitom počte pokusov so zadaním nesprávnych prístupových údajov. Vo všeobecnosti odporúčame vytvárať dostatočne silné heslá o dĺžke minimálne 16 znakov a aby jeho platnosť nepresahovala 3 mesiace. Heslo je dôležité dobre uschovať tak, aby bol zamedzený fyzický prístup osobe, ktorá nemá oprávnenie heslo poznať.

Aktuálne aktívne zneužívané zraniteľnosti zariadení QNAP NAS

CVE-2021-28799

Zraniteľnosť zadných dvierok (backdoor) s pevne zadanými prihlasovacími údajmi našli bezpečnostní výskumníci v riešení HBS 3 (Hybrid Backup Sync). Zraniteľnosť umožňuje prístup útočníkovi k zraniteľnému zariadeniu bez autentifikácie nastavenej správcom zariadenia.

Zraniteľné verzie a návod na zabezpečenie nájdete na stránke QNAP

CVE-2020-2509 (CVSS 9.8)

Zraniteľnosť umožňujúca potencionálnemu vzdialenému útočníkovi vykonať ľubovoľný príkaz v operačnom systéme QTS a QTS Hero. Zraniteľnosť existuje z dôvodu nedostatočného overenia vstupov zadaných používateľom smerom k niektorým základným procesom a rozhraniam API. Keďže systém dostatočne nekontroluje vstupy zadané užívateľom k niektorým základným procesom a rozhraniam API, výskumníkom sa podarilo nepriamo vzdialene vykonať kód na strane servera. Špeciálne vytvorené http požiadavky smerovali rôznym CGI stránkam(Common Gateway Interface), ktoré nevyžadovali predchádzajúcu autentifikáciu.. Úspešné zneužitie zraniteľnosti by potencionálnemu útočníkovi umožnilo vykonať ľubovoľný kód (RCE) v aplikáciách, či cez aplikácie priamo v systéme a tak kompromitovať systém.

Zraniteľné verzie a návod na zabezpečenie nájdete na stránke QNAP

CVE-2020-36195

Zraniteľnosť umožňujúca vložiť ľubovoľný príkaz do SQL databázy (SQL injection) v aplikácii Multimedia Console alebo doplnku Media Streaming. Zraniteľnosť existuje z dôvodu nedostatočnej sanitácie údajov zadaných používateľom. Potencionálny vzdialený útočník môže zraniteľnosť zneužiť dvoma spôsobmi. Prvý útok umožňuje potencionálnemu útočníkovi s prístupom k webovému rozhraniu vykonávať ľubovoľné príkazy bez potreby znalosti prístupových údajov. Druhý útok umožňuje potencionálnemu útočníkovi s prístupom k rozhraniu DLNA serveru vytvárať ľubovoľné dáta na ľubovoľnom (neexistujúcom) mieste. Rovnako útočník môže zneužiť zraniteľnosť na zvýšenie svojich oprávnení v systéme a následne vzdialene vykonávať ľubovoľné príkazy na vzdialenom zariadení NAS.

Zraniteľné verzie a návod na zabezpečenie nájdete na stránke QNAP

CVE-2020-2501 / CVE-2021-28797

Zraniteľnosť, ktorá existuje z dôvodu možného pretečenia medzipamäte založenej na zásobníku. Chyba ohrozuje zariadenia QNAP NAS so súčasťou Surveillance Station. Potencionálny útočník by zraniteľnosť mohol zneužiť odoslaním špeciálne vytvorenej http požiadavky zraniteľnému zariadeniu. Úspešné zneužitie zraniteľnosti by potencionálnemu vzdialenému, neoverenému útočníkovi umožnilo vyvolať pretečenie medzipamäte založenej na zásobníku, ktorý využíva doplnok Surveillance Station a tak v zariadení vykonať ľubovoľný kód.

Zraniteľné verzie a návod na zabezpečenie nájdete na stránke QNAP

Zraniteľné systémy

  • QNAP NAS s Multimedia Console, alebo doplnkom Media Streaming
  • QNAP NAS s riešením HBS 3 Hybrid Backup Sync
  • QNAP NAS so systémom Surveillance Station
  • QNAP NAS s operačným systémom QTS a QTS hero

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania

  • Aktualizovať zraniteľné QNAP NAS produkty na najnovšiu opravenú verziu
  • Vždy udržiavať zariadenia aktualizované
  • Pokiaľ je úložisko publikované do internetu, pravidelne vytvárať jeho offline zálohy

Keďže spoločnosť QNAP zaznamenala zvýšené množstvo cielených útokov na svoje produkty, rozhodla sa vydať odporúčania administrátorom pre zabezpečenie svojich sieťových úložísk.

  • Odstráňte neznáme, alebo podozrivé účty, ktoré majú prístup k zariadeniu.
  • Odstráňte neznáme, alebo podozrivé aplikácie zo zariadenia.
  • Spoločnosť odporúča nastaviť prístup k zariadeniu cez svoju službu myQNAPcloud.
  • Neotvárajte viac portov, ako potrebujete a dbajte, aby bol prístup vždy zabezpečený overením používateľa s adekvátnou bezpečnostnou politikou. Rovnako nepoužívajte predvolené porty zadané v systéme.
  • Spoločnosť odporúča aktívne používať aplikáciu Malware Remover na svojom zariadení.
  • Pravidelne obmieňajte prístupové heslá pre všetky prístupové účty.
  • Pravidelne kontrolujte dostupnosť a inštalujte aktualizácie aplikácií v zariadení.
  • Pravidelne kontrolujte dostupnosť a inštalujte aktualizácie operačného systému zariadenia.
  • Spoločnosť odporúča využívať pre zariadenie vlastný QuFirewall.

Viac ohľadom bezpečnostných odporúčaní spoločnosti QNAP nájdete na jej webových stránkach.

Odkazy
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13
https://www.qnap.com/en/security-advisory/qsa-21-07
https://www.qnap.com/en/security-advisory/qsa-21-05
https://www.qnap.com/en/security-advisory/qsa-20-06
https://www.qnap.com/en/security-advisories
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security
https://threatpost.com/qnap-nas-devices-zero-day-attack/165165/
https://www.bleepingcomputer.com/news/security/qnap-removes-backdoor-account-in-nas-backup-disaster-recovery-app/
https://sensorstechforum.com/cve-2020-2509-cve-2021-36195-qnap-nas/
https://www.bleepingcomputer.com/news/security/a-ransomware-gang-made-260-000-in-5-days-using-the-7zip-utility/
https://therecord.media/qnap-warns-of-agelocker-ransomware-attacks-against-nas-devices/
https://www.bleepingcomputer.com/news/security/qnap-warns-of-agelocker-ransomware-attacks-on-nas-devices/
https://securityboulevard.com/2019/10/muhstik-ransomware-a-hack-back-story/