Ransomware versleutelt Zyxel NAS-systemen via zerodaylek

[Captain Kirk]

NAS-systemen van Zyxel zijn de afgelopen weken het doelwit geweest van aanvallen waarbij criminelen een zerodaylek gebruikten om de apparaten met ransomware te infecteren. Deze ransomware versleutelde vervolgens alle aanwezige bestanden en eiste losgeld voor het ontsleutelen.

Zyxel heeft nu voor nog ondersteunde NAS-systemen beveiligingsupdates uitgebracht en eigenaren van een Zyxel NAS-systeem krijgen het advies die zo snel als mogelijk te installeren. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder inloggegevens commando's op het NAS-systeem uit te voeren. Daarmee kan een aanvaller volledige controle over de NAS krijgen.

Een aanvaller hoeft alleen een speciaal geprepareerd HTTP POST of GET request te versturen. Dit kan wanneer de aanvaller directe toegang tot het apparaat heeft. Er zijn echter ook manieren om dergelijke requests uit te voeren zonder dat de aanvaller directe toegang tot de NAS heeft. Zo kan het bezoeken van een website al tot een besmet NAS-systeem leiden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

It-journalist Brian Krebs laat weten dat exploitcode om misbruik van de kwetsbaarheid te maken de afgelopen weken actief door criminelen is gebruikt om kwetsbare NAS-systemen met ransomware te infecteren. Krebs werd op 12 februari door een beveiligingsonderzoeker over het zerodaylek ingelicht. Een exploit voor de kwetsbaarheid werd namelijk op internet voor 20.000 dollar te koop aangeboden.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld. ZyXEL heeft updates beschikbaar gesteld voor de volgende modellen: NAS326, NAS520, NAS540 en NAS542. Eigenaren van een NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 en NSA325v2 moeten het zonder patch doen, aangezien deze modellen niet meer worden ondersteund. Deze gebruikers kunnen als oplossing toegang tot de webinterface blokkeren of het apparaat niet direct aan het internet hangen.

Tevens waarschuwt het CERT/CC dat gebruikers moeten oppassen bij het updaten van hun NAS. Het Zyxel-upgradeproces maakt namelijk gebruik van het onveilige FTP om de updates te downloaden en de bestanden worden alleen aan de hand van een checksum gecontroleerd in plaats van een digitale handtekening. Een aanvaller die controle over de DNS of IP-routing van het slachtoffer heeft kan zo kwaadaardige firmware op de NAS installeren.

 

 

bron: security.nl