QNAP achterhaalt hoe Deadbolt-ransomware NAS-systemen infecteert
QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend.
Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen.
Geforceerde firmware-update
Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen.
QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld.
In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist.
Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt.
De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk.
Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen.
Ja ik snap dat sommige updates problemen "kunnen" opleveren, maar gooi dan alle uitgaande traffic dicht, zodat anderen op het internet hier geen last van hebben.
Goed voorbeeld was de hele MSSQL exploit debacle van vroeger, toen China met on-gepatchde servers heel het internet bijna plat legde... https://en.wikipedia.org/wiki/SQL_Slammer
Zal nu niet meer zo heel snel gebeuren, maar er zijn nog teveel nalatige admins die alles open en bloot installeren, en daar hebben wij als competente server beheerders last van, wanneer die gehacked worden...
Indien mensen aangeven GEEN updates te willen blijf je als bedrijf af van die spullen. Mensen kunnen zelf best maatregelen getroffen hebben om toch niet kwetsbaar te zijn. En anders is het een geval van pech dat je toch getroffen wordt.
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.
Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.
Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?
Dat zul je wel moeten. Als andere niet gepatchte systemen een DDoS op jou uitvoeren ben je weg, hoe goed je
het zelf ook allemaal weet.
Een goede actie zou zijn om de keus te geven tussen "internet connectivity en automatische updates AAN" en
"beiden UIT".
Dan help je zowel de stronteigenwijze "ik heb er verstand van!" hobbyist als de rest van de wereld.
Zero-trust Networking, ik ga de integriteit van mijn systemen toch niet af laten hangen van het al dan niet patchen door anderen?
Dat zul je wel moeten. Als andere niet gepatchte systemen een DDoS op jou uitvoeren ben je weg, hoe goed je
het zelf ook allemaal weet.
Als ze een aanval uitvoeren op mijn enegie leverancier heb ik ook geen verbinding meer, als, als ,als.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
