QNAP herhaalt oproep om UPnP en port forwarding op NAS uit te schakelenQNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval

[Captain Kirk]

QNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval op gebruikers van een QNAP-NAS begin deze maand. Aanvallers achter de DeadBolt-ransomware maakten gebruik van een zerodaylek in de Photo Station-software van QNAP. Zodoende konden allerlei bestanden worden versleuteld en moesten slachtoffers losgeld betalen om hun data terug te krijgen.

QNAP zegt dat het vijf uur na het identificeren van de "malwarepatronen" met een beveiligingsupdate voor het aangevallen zerodaylek is gekomen. Verder heeft de NAS-fabrikant een lijst met ip-adressen die de aanvallers gebruiken op een blacklist van de QuFirewall-applicatie gezet. Verder stelt het bedrijf dat het vorig jaar NAS-snapshots heeft geïntroduceerd die niet door ransomware zijn te verwijderen.

In QTS 5.0.0 staan deze snapshots standaard in het Thin/Thick volume ingeschakeld. Gebruikers die regelmatig snapshots maken kunnen die herstellen. Klanten die niet regelmatig snapshots maken worden aangeraden om contact op te nemen met de klantenservice van QNAP. Ook adviseert de NAS-fabrikant om wel geregeld snapshots te maken.

In april kwam QNAP met advies om UPnP en port forwarding uit te schakelen en die oproep wordt nu herhaald. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie.

Port forwarding maakt het mogelijk om het NAS-appraat voor het internet toegankelijk te maken. QNAP stelt dat gebruikers hier voorzichtig mee moeten zijn en het uitschakelen van de feature wordt aangeraden. In het geval een NAS-systeem toch toegankelijk vanaf het internet moet zijn is het nodig om een strikte firewallconfiguratie toe te passen en de managementpoort aan te passen, zo stelt de fabrikant. Hoeveel QNAP-gebruikers slachtoffer van de recente aanval zijn geworden is niet bekend.

Volgens securitybedrijf Censys zijn inmiddels bij de recente zeroday-aanval ruim 11.000 NAS-systemen besmet geraakt.

 

bron: https://www.security.nl