QNAP achterhaalt hoe Deadbolt-ransomware NAS-systemen infecteert

[Captain Kirk]

QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend.

Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen.

Geforceerde firmware-update

Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen.

QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld.

In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist.

Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt.

De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk.

Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen.

 

 

bron: https://www.security.nl

[Captain Kirk]

QNAP verklaart installatie van firmware-update op NAS-systemen

 

QNAP heeft meer informatie gegeven over de firmware-update die het vorige week op tal van NAS-systemen installeerde om die zo tegen de Deadbolt-ransomware te beschermen. Deadbolt maakt misbruik van een kwetsbaarheid in de QTS-firmware waardoor het mogelijk is voor aanvallers om willekeurige code op systemen uit te voeren. Het beveiligingslek werd afgelopen december verholpen.

Vorige week waarschuwde QNAP gebruikers voor de Deadbolt-ransomware. Kort daarna lieten allerlei gebruikers weten dat hun NAS-systeem ongevraagd was geüpdatet en ze de installatie van automatische updates nooit zelf hadden ingeschakeld. Sommige gebruikers spraken zelfs van een backdoor. QNAP heeft vandaag meer informatie over het proces gegeven.

Met de lancering van QTS 4.5 voegde QNAP een optie toe voor de automatische installatie van updates. Deze optie stond standaard uitgeschakeld. Vorig jaar juni verscheen QTS 4.5.3 waarin QNAP de optie voor de installatie van "aanbevolen versies" standaard inschakelde. Dit stond in de release notes vermeld. Om gebruikers tegen de Deadbolt-ransomware te beschermen besloot QNAP vorige week om de firmware-update van december als een "aanbevolen" update te bestempelen, waardoor die automatisch bij gebruikers kon worden geïnstalleerd.

"De aanbevolen versie geldt niet voor elke update. Daardoor beseften mensen niet dat de installatie van aanbevolen updates op hun NAS stond ingeschakeld", zegt een medewerker van QNAP vandaag op het forum van de NAS-fabrikant. In een verdere verklaring erkent QNAP dat services die op de NAS draaien tijdens de update kunnen worden onderbroken. "We zoeken continu naar manieren om onze producten te verbeteren. Toekomstige software-updates kunnen aanpassingen bevatten die gebruikers beter het updateproces laten beheren", aldus het bedrijf. Dat stelt verder dat gebruikers het automatisch updaten kunnen uitschakelen.

 

bron: https://www.security.nl