Moderatore: ModiMaccanici
Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.paolinoweb-due- ha scritto: ↑lun, 26 apr 2021 13:07https://www.dday.it/redazione/39277/un- ... n-password
Non proprioPaolofast ha scritto: ↑lun, 26 apr 2021 13:53Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.paolinoweb-due- ha scritto: ↑lun, 26 apr 2021 13:07https://www.dday.it/redazione/39277/un- ... n-password
Le prime fonti che ho consultato glissano su come il ransomware sia stato installato.
Tiro a caso: chi dovrebbe tenere aggiornato il NAS, invece di aggiornare ha installato la "versione speciale di Flash per vedere gratis un noto sito porno a pagamento", o qualcosa di simile.
Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.Paolofast ha scritto: ↑lun, 26 apr 2021 17:08Grazie delle informazioni.
Lieto di non averci azzeccato quando ho pensato male.
Purtroppo i vari siti, compreso quello linkato da paolinoweb-due-, che parlano di questo ramsomware non forniscono, non dico i link che hai messo tu, ma neppure un accenno su come quel malware sia entrato.
Ho letto però, nei commenti a questi articoli, che una buona parte dei NAS colpiti lo sono stati dopo l'uscita dell'aggiornamento.
Uno in particolare diceva che nel suo ufficio ci sono 4 NAS, tre gestiti da lui ed aggiornati regolarmente ed uno gestito da un "pigro" che aggiorna quando capita.
Indovina quale NAS è stato colpito?
Il fatto che "in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti" non depone certo a favore di Qnap, ma un aggiornamento specifico per un ramsomware, personalmente, avrei rischiato a farlo immediatamente.
Da quello che ho capito però il ramsomware ha colpito i NAS che si affacciano direttamente su Internet, non certo quelli usati esclusivamente su rete interna senza uscite verso l'esterno.
Domanda, visto che sei molto più esperto di me: un firewall ben configurato avrebbe aiutato o il NAS sarebbe stato "bucato" ugualmente?
Si da installare assolutamente, anche se si ha il firmware aggiornato.paolinoweb-due- ha scritto: ↑lun, 26 apr 2021 17:22https://www.qnap.com/it-it/app_releasen ... areRemover
Seguendo il link vedo che l'ultima versione dello strumento di rimozione è del 23 aprile 2021, ma sul mio sistema l'ultima versione disponibile è precedente: 3.6.0.2/4.6.0.2 del 10 novembre 2020.RickS ha scritto: ↑lun, 26 apr 2021 18:05Si da installare assolutamente, anche se si ha il firmware aggiornato.paolinoweb-due- ha scritto: ↑lun, 26 apr 2021 17:22https://www.qnap.com/it-it/app_releasen ... areRemover
Insomma, se voglio certe caratteristiche, devo essere pronto ad un rischio ragionevole.RickS ha scritto: ↑lun, 26 apr 2021 18:04Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.
Se ad esempio io voglio usare il NAS come mio cloud personale devo attivare tutta una serie di servizi, dal QNAPCloud in poi, se uni di quei servizi ha falle conosciute un attaccante le può sfruttare insieme ad altre falle per iniettarmi un malware o fare qualsiasi altra cosa, se usa falle che permettono di scalare i privilegi "priviliege escalation", non c'è molto che si possa fare, anche disabilitare l'utente admin può non servire.
Ovviamente ci sono tecniche per diminuire il pericolo, ma:
1) Non sono alla portata di tutti
2) Alla fine si tratta spesso di rinunciare a determinate caratteristiche o possibilità, ed se a me quelle caratteristiche o possibilità servono, se sono la ragione per la quale ho comprato il NAS che faccio ?
Voi avete capito -come- ?!paolinoweb-due- ha scritto: ↑mar, 18 mag 2021 18:18
è stato confermato che il ransomwareQlocker stava sfruttando una delle vulnerabilità di HBS con patch contro i NAS QNAP senza patch direttamente collegati a Internet
L'autore dell'attacco ha approfittato di una vulnerabilità HBS con patch. Sfruttando tale debolezza, il malware poteva ottenere un livello di autorizzazione inappropriato del NAS QNAP coinvolto. Dopo che il NAS erastato violato, l'autore dell'attacco inseriva un codice maligno nel sistema per cancellare tutte le snapshot e per comprimere i file dell'utente con una password utilizzando l'utilità 7-Zip integrata destinata alle normali operazioni di compressione/decompressione dei file. Dopo l'inizio della crittografia, Qlocker rilascerà una nota di riscatto e si autoeliminerà per aumentare la difficoltà dell'indagine.
Come fa qualcuno ad iniziare l'operazione di brute force, se il mio NAS è dietro firewall/router?paolinoweb-due- ha scritto: ↑mar, 18 mag 2021 18:35abilitare la protezione dell'accesso IP per proteggere dagli attacchi di forza bruta
Da quel che ho capito l'attacco arriva con i Qnap collegati ad internet, ma sempre se ho capito bene hanno sfruttato anche Hybrid Backup Sync (HBS) l'applicazione per il backup.Pingus ha scritto: ↑mar, 18 mag 2021 18:37Voi avete capito -come- ?!
io no
Chi mi fa un esempio di come uno di voi è in grado di replicare la situazione.
Adesso le info sono pubbliche.
I miei NAS QNAP sono collegati alla connessione internet, dietro firewall e router.
Le applicazioni installate sono solo quelle di QNAP.
Come si fa ad attaccarmi ed ottenere un livello di autorizzazione inappropriato del NAS QNAP?
Visitano il forum: Nessuno e 1 ospite