image

NAS-systemen QNAP aangevallen via Bash-bug

donderdag 2 oktober 2014, 11:35 door Redactie, 4 reacties

Aanvallers maken op dit moment gebruik van de Bash-bug om NASsen aan te vallen en zo toegang tot de opslagsystemen te krijgen. De aanvallen zouden met name op de NAS-systemen van fabrikant QNAP zijn gericht. Een NAS is een opslagapparaat dat via het netwerk te bereiken is en grote hoeveelheden bestanden kan bevatten. Zowel consumenten als bedrijven en organisaties maken er gebruik van.

Veel van de NASsen draaien een Linux-versie waar de vorige week onthulde Bash-bug in aanwezig is. In het geval van de nu waargenomen aanvallen wordt de beheerdersinlogpagina als aanvalsvector gebruikt, zo laat beveiligingsbedrijf FireEye weten. Daarbij zouden voornamelijk universiteiten en onderzoeksinstellingen in Japan en Korea zijn aangevallen.

Als de aanval succesvol is krijgt het systeem de opdracht om een script te downloaden. Dit script wijzigt de opstartinstellingen van de NAS, kopieert een SSH-sleutel en voegt die aan de reeds goedgekeurde sleutels toe en installeert een backdoor-bestand. Door het toevoegen van de SSH-sleutel is het mogelijk om later in te loggen.

De backdoor is een ELF-bestand en vereist een wachtwoord voordat een aanvaller toegang tot het systeem krijgt. In dit geval zou het versturen van een pakketje met de tekst "IAMYOURGOD" voldoende zijn. Wat voor QNAP-systemen allemaal zijn aangevallen laat FireEye niet weten, maar het bedrijf waarschuwt dat NAS-systemen, gezien de soort data die ze verwerken, een aantrekkelijk doelwit voor aanvallers zijn.

Reacties (4)
02-10-2014, 15:39 door blambrey
http://threatpost.com/openvpn-vulnerable-to-shellshock-bash-vulnerability/108616

Who's next?
02-10-2014, 17:17 door Anoniem
En dan weer even niet melden dat er patches zijn.
02-10-2014, 17:20 door blambrey
https://github.com/mubix/shellshocker-pocs
03-10-2014, 09:11 door Anoniem
Firmware update:

http://www.qnap.com/i/nl/support/con_show.php?cid=60
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.