Ramsomware Nas Qnap

Il Mac e le reti

Moderatore: ModiMaccanici

Avatar utente
paolinoweb-due-
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: gio, 19 nov 2020 21:40
Messaggi: 660
Località: Genova

Top

Oggetto del messaggio: Ramsomware Nas Qnap

Messaggio da paolinoweb-due- »

Macbook Air 2020
i5 quad core 8 GB Ram
512 SSD

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5424

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Paolofast »

Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.

Le prime fonti che ho consultato glissano su come il ransomware sia stato installato.

Tiro a caso: chi dovrebbe tenere aggiornato il NAS, invece di aggiornare ha installato la "versione speciale di Flash per vedere gratis un noto sito porno a pagamento", o qualcosa di simile. :D

Immagine
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
RickS
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 849

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da RickS »

Paolofast ha scritto:
lun, 26 apr 2021 13:53
Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.

Le prime fonti che ho consultato glissano su come il ransomware sia stato installato.

Tiro a caso: chi dovrebbe tenere aggiornato il NAS, invece di aggiornare ha installato la "versione speciale di Flash per vedere gratis un noto sito porno a pagamento", o qualcosa di simile. :D
Non proprio
https://www.qnap.com/en/news/2021/respo ... e-qnap-nas
Versione in italiano https://www.qnap.com/it-it/news/2021/ri ... l-qnap-nas
https://www.qnap.com/it-it/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13

Come già in passato sia per Qnap che per Synology usa falle in alcuni dei servizi del NAS.
In questo caso:
Media Streaming add-on
Media Streaming add-on
Ma sopratutto:
Multimedia Console che è il modulo usato dal QNAP per visualizzare video, fare transcodifica, ecc, in pratica il modulo usato dalla maggior parte degli utenti per vedere i video caricati sul NAS sulla TV o sul Computer.
E per video intendo anche chi a rippato su NAS i propri DVD, per vederli sulla TV, ma anche sul PC, Mac, iCosi, Android, ecc.
E giusto per non farci mancare nulla anche: HBS 3 Hybrid Backup Sync:
Che e il modulo o App per fare fare al NAS i Backup in rete del NAS, ma anche locali sul NAS

In passato hanno usato una falle nel motore del database SQL usato dai chi utilizzava il NAS come web server, nei servizi di condivisione Windows (SMB), ecc.
Ma ci sono state tante altre falle.

Il Firmware finale aggiornato per chiudere queste falle è uscito il 16 Aprile 2021, 9 giorni fa.
Uno potrebbe dire che dal 16 aprile al 26 c'era abbastanza tempo per aggiornare, obiezione più che corretta, se non fosse che in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti.
Di conseguenza su molti forum si consigliano gli utenti di aspettare qualche giorno, la solita settimana, prima di aggiornare i loro NAS, sopratutto nel caso servano per lavoro, dove un down del NAS potrebbe creare non pochi problemi.

EDIT:
Per chi ha un NAS QNAP consigli anche di andare a vedere sul Forum di supporto in italiano. https://www.qnapclub.it/viewtopic.php?f=6&t=18855
*******************************
Educazione, comprensione e pazienza sono i presupposti di comunicazione riuscita
Mai confondere l'educazione con la debolezza
In caso di emergenza chiamatemi digitando sul mio avatar il numero 555-610610

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5424

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Paolofast »

Grazie delle informazioni.
Lieto di non averci azzeccato quando ho pensato male. :D
Purtroppo i vari siti, compreso quello linkato da paolinoweb-due-, che parlano di questo ramsomware non forniscono, non dico i link che hai messo tu, ma neppure un accenno su come quel malware sia entrato.

Ho letto però, nei commenti a questi articoli, che una buona parte dei NAS colpiti lo sono stati dopo l'uscita dell'aggiornamento.
Uno in particolare diceva che nel suo ufficio ci sono 4 NAS, tre gestiti da lui ed aggiornati regolarmente ed uno gestito da un "pigro" che aggiorna quando capita.
Indovina quale NAS è stato colpito?

Il fatto che "in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti" non depone certo a favore di Qnap, ma un aggiornamento specifico per un ramsomware, personalmente, avrei rischiato a farlo immediatamente.

Da quello che ho capito però il ramsomware ha colpito i NAS che si affacciano direttamente su Internet, non certo quelli usati esclusivamente su rete interna senza uscite verso l'esterno.

Domanda, visto che sei molto più esperto di me: un firewall ben configurato avrebbe aiutato o il NAS sarebbe stato "bucato" ugualmente?
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
paolinoweb-due-
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: gio, 19 nov 2020 21:40
Messaggi: 660
Località: Genova

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da paolinoweb-due- »

Macbook Air 2020
i5 quad core 8 GB Ram
512 SSD

Avatar utente
RickS
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 849

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da RickS »

Paolofast ha scritto:
lun, 26 apr 2021 17:08
Grazie delle informazioni.
Lieto di non averci azzeccato quando ho pensato male. :D
Purtroppo i vari siti, compreso quello linkato da paolinoweb-due-, che parlano di questo ramsomware non forniscono, non dico i link che hai messo tu, ma neppure un accenno su come quel malware sia entrato.

Ho letto però, nei commenti a questi articoli, che una buona parte dei NAS colpiti lo sono stati dopo l'uscita dell'aggiornamento.
Uno in particolare diceva che nel suo ufficio ci sono 4 NAS, tre gestiti da lui ed aggiornati regolarmente ed uno gestito da un "pigro" che aggiorna quando capita.
Indovina quale NAS è stato colpito?

Il fatto che "in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti" non depone certo a favore di Qnap, ma un aggiornamento specifico per un ramsomware, personalmente, avrei rischiato a farlo immediatamente.

Da quello che ho capito però il ramsomware ha colpito i NAS che si affacciano direttamente su Internet, non certo quelli usati esclusivamente su rete interna senza uscite verso l'esterno.

Domanda, visto che sei molto più esperto di me: un firewall ben configurato avrebbe aiutato o il NAS sarebbe stato "bucato" ugualmente?
Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.
Se ad esempio io voglio usare il NAS come mio cloud personale devo attivare tutta una serie di servizi, dal QNAPCloud in poi, se uni di quei servizi ha falle conosciute un attaccante le può sfruttare insieme ad altre falle per iniettarmi un malware o fare qualsiasi altra cosa, se usa falle che permettono di scalare i privilegi "priviliege escalation", non c'è molto che si possa fare, anche disabilitare l'utente admin può non servire.
Ovviamente ci sono tecniche per diminuire il pericolo, ma:
1) Non sono alla portata di tutti
2) Alla fine si tratta spesso di rinunciare a determinate caratteristiche o possibilità, ed se a me quelle caratteristiche o possibilità servono, se sono la ragione per la quale ho comprato il NAS che faccio ?
*******************************
Educazione, comprensione e pazienza sono i presupposti di comunicazione riuscita
Mai confondere l'educazione con la debolezza
In caso di emergenza chiamatemi digitando sul mio avatar il numero 555-610610

Avatar utente
RickS
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 849

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da RickS »

Si da installare assolutamente, anche se si ha il firmware aggiornato.
*******************************
Educazione, comprensione e pazienza sono i presupposti di comunicazione riuscita
Mai confondere l'educazione con la debolezza
In caso di emergenza chiamatemi digitando sul mio avatar il numero 555-610610

Avatar utente
spegahsheen
Stato: Non connesso
Stella nascente
Stella nascente
Avatar utente
Iscritto il: lun, 31 ott 2016 18:20
Messaggi: 776
Località: https://is.gd/axusiw

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da spegahsheen »

RickS ha scritto:
lun, 26 apr 2021 18:05
Si da installare assolutamente, anche se si ha il firmware aggiornato.
Seguendo il link vedo che l'ultima versione dello strumento di rimozione è del 23 aprile 2021, ma sul mio sistema l'ultima versione disponibile è precedente: 3.6.0.2/4.6.0.2 del 10 novembre 2020.
Che ne pensate? aspetto AstraZeneca?
Per un'insolita congiunzione astrale si è manifestata alla mia mente una verità trascendente, profonda, rivelata con parole illuminanti. Solo che adesso... non me la ricordo più!

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5424

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Paolofast »

RickS ha scritto:
lun, 26 apr 2021 18:04
Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.
Se ad esempio io voglio usare il NAS come mio cloud personale devo attivare tutta una serie di servizi, dal QNAPCloud in poi, se uni di quei servizi ha falle conosciute un attaccante le può sfruttare insieme ad altre falle per iniettarmi un malware o fare qualsiasi altra cosa, se usa falle che permettono di scalare i privilegi "priviliege escalation", non c'è molto che si possa fare, anche disabilitare l'utente admin può non servire.
Ovviamente ci sono tecniche per diminuire il pericolo, ma:
1) Non sono alla portata di tutti
2) Alla fine si tratta spesso di rinunciare a determinate caratteristiche o possibilità, ed se a me quelle caratteristiche o possibilità servono, se sono la ragione per la quale ho comprato il NAS che faccio ?
Insomma, se voglio certe caratteristiche, devo essere pronto ad un rischio ragionevole.
Il solito rapporto rischi-benefici.

Capito, grazie.
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
Pingus
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: sab, 13 ott 2018 16:56
Messaggi: 1227

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Pingus »

Scusate, magari l'avete scritto e mi è scappato. Ammetto che ho letto tutto molto velocemente.
Ho i QNAP sia a casa che in ufficio.
E come spesso faccio, aggiorno raramente.

Lo so è una scelta discutibile, come secondo me è discutibile usare app/sistemi in beta o peggio in alfa.
Per esempio io sono ancora su HighSierra e ci rimango.
Ma passiamo avanti, che qui il discorso è un altro.


Non ho ben capito come sia possibile essere attaccati da questo ransomware.
Cioè, uso il NAS, solo per condivisioni locali, servizi locali, etc e lo prendo comunque.
Oppure vengo attaccato solo se scarico determinati software.
Oppure solo se apro il NAS QNAP verso il web, tipo cloud o server web.
Oppure è una falla talmente grande che entrano nel NAS attraverso il router e firewall e brasano via tutto sul NAS.

A quale livello siamo? Dove parte l'attacco?
Grazie!
_________________________________________
I'am Pingù

Avatar utente
paolinoweb-due-
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: gio, 19 nov 2020 21:40
Messaggi: 660
Località: Genova

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da paolinoweb-due- »

Descrizione dell'incidente
Il 16 aprile 2021, QNAP ha rilasciato una versione aggiornata (16.0.0415) dell'applicazione Hybrid Backup Sync (HBS) per aggiungere nuove funzionalità e per risolvere alcuni problemi di sicurezza descritti nel QNAP Security Advisory QSA-21-13. Il 21 aprile, abbiamo iniziato a ricevere segnalazioni di utenti relative a possibili attacchi ransomware. Successivamente, dopo l'indagine iniziale, è stato confermato che il ransomwareQlocker stava sfruttando una delle vulnerabilità di HBS con patch contro i NAS QNAP senza patch direttamente collegati a Internet.

L'autore dell'attacco ha approfittato di una vulnerabilità HBS con patch. Sfruttando tale debolezza, il malware poteva ottenere un livello di autorizzazione inappropriato del NAS QNAP coinvolto. Dopo che il NAS erastato violato, l'autore dell'attacco inseriva un codice maligno nel sistema per cancellare tutte le snapshot e per comprimere i file dell'utente con una password utilizzando l'utilità 7-Zip integrata destinata alle normali operazioni di compressione/decompressione dei file. Dopo l'inizio della crittografia, Qlocker rilascerà una nota di riscatto e si autoeliminerà per aumentare la difficoltà dell'indagine.

Valutando le informazioni limitate raccolte dai primi casi segnalati, abbiamo rilasciato regole di rilevamento aggiornate dell'app QNAP NAS Malware Remover per rilevare e fermare le attività del malware. Abbiamo anche aggiunto brevi script per tentare l'estrazione della chiave di crittografia durante la compressione.

Successivamente, il 22 aprile, abbiamo rilasciato una parte di Product Security News per invitare i nostri utenti a installare tutti gli aggiornamenti rilasciati di recente prima di poter confermare il percorso di attacco effettivo. Quindi, dopo aver identificato il percorso, abbiamo aggiornato nuovamente la regola di Malware Remover per mettere in quarantena il codice HBS in questione per i NAS QNAP senza patch.

https://www.qnap.com/static/landing/202 ... nse/it-it/
Macbook Air 2020
i5 quad core 8 GB Ram
512 SSD

Avatar utente
paolinoweb-due-
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: gio, 19 nov 2020 21:40
Messaggi: 660
Località: Genova

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da paolinoweb-due- »

Aggiungo questo :

https://www.qnap.com/it-it/security-adv ... ry_details

E' l'elenco delle vulnerabilità dei Qnap ... sotto l'ultima del 14 maggio... la trovate nell'elenco sopra....

https://www.qnap.com/it-it/security-advisory/qsa-21-18

Non credevo che fossero cosi tante. :shock:

Leggendo un po' dicono possibilmente di non collegare il Nas su internet, nel caso di bisogno cambiare le porte di default - 443 e 8080 - utilizzare una VPN, aggiornare sempre i Qnap e i software in dotazione, abilitare la protezione dell'accesso IP per proteggere dagli attacchi di forza bruta.

Queste sono raccomandazioni generali che ho letto nelle varie vulnerabilità, poi ci saranno patch e rimuovi ramsomware che rilasceranno.
Ultima modifica di paolinoweb-due- il mar, 18 mag 2021 18:38, modificato 1 volta in totale.
Macbook Air 2020
i5 quad core 8 GB Ram
512 SSD

Avatar utente
Pingus
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: sab, 13 ott 2018 16:56
Messaggi: 1227

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Pingus »

paolinoweb-due- ha scritto:
mar, 18 mag 2021 18:18

è stato confermato che il ransomwareQlocker stava sfruttando una delle vulnerabilità di HBS con patch contro i NAS QNAP senza patch direttamente collegati a Internet

L'autore dell'attacco ha approfittato di una vulnerabilità HBS con patch. Sfruttando tale debolezza, il malware poteva ottenere un livello di autorizzazione inappropriato del NAS QNAP coinvolto. Dopo che il NAS erastato violato, l'autore dell'attacco inseriva un codice maligno nel sistema per cancellare tutte le snapshot e per comprimere i file dell'utente con una password utilizzando l'utilità 7-Zip integrata destinata alle normali operazioni di compressione/decompressione dei file. Dopo l'inizio della crittografia, Qlocker rilascerà una nota di riscatto e si autoeliminerà per aumentare la difficoltà dell'indagine.
Voi avete capito -come- ?!

io no

Chi mi fa un esempio di come uno di voi è in grado di replicare la situazione.
Adesso le info sono pubbliche.
I miei NAS QNAP sono collegati alla connessione internet, dietro firewall e router.
Le applicazioni installate sono solo quelle di QNAP.

Come si fa ad attaccarmi ed ottenere un livello di autorizzazione inappropriato del NAS QNAP?
_________________________________________
I'am Pingù

Avatar utente
Pingus
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: sab, 13 ott 2018 16:56
Messaggi: 1227

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da Pingus »

paolinoweb-due- ha scritto:
mar, 18 mag 2021 18:35
abilitare la protezione dell'accesso IP per proteggere dagli attacchi di forza bruta
Come fa qualcuno ad iniziare l'operazione di brute force, se il mio NAS è dietro firewall/router?
Devo per forza di cose esporlo direttamente.
Cosa che non farei mai.
Il NAS non è esposto nemmeno se abiliti la funzione cloud.
_________________________________________
I'am Pingù

Avatar utente
paolinoweb-due-
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: gio, 19 nov 2020 21:40
Messaggi: 660
Località: Genova

Top

Oggetto del messaggio: Re: Ramsomware Nas Qnap

Messaggio da paolinoweb-due- »

Pingus ha scritto:
mar, 18 mag 2021 18:37
Voi avete capito -come- ?!

io no

Chi mi fa un esempio di come uno di voi è in grado di replicare la situazione.
Adesso le info sono pubbliche.
I miei NAS QNAP sono collegati alla connessione internet, dietro firewall e router.
Le applicazioni installate sono solo quelle di QNAP.

Come si fa ad attaccarmi ed ottenere un livello di autorizzazione inappropriato del NAS QNAP?
Da quel che ho capito l'attacco arriva con i Qnap collegati ad internet, ma sempre se ho capito bene hanno sfruttato anche Hybrid Backup Sync (HBS) l'applicazione per il backup.

Leggi anche il post che ho pubblicato dopo con l'elenco delle vulnerabilità. Sono tante, il sistema operativo di Qnap ha grosse falle ecco come entrano, sfruttandole. Il firewall può proteggere, ma se gli lasci aperte le porte di default che vengono utilizzate per gli attacchi, serve a poco.. cambiare le porte direi che è prima cosa da fare oltre ad aggiornare tutto.

Leggi le raccomandazioni che Qnap ha pubblicato sulle tante vulnerabilità ed applicale
Macbook Air 2020
i5 quad core 8 GB Ram
512 SSD