Ramsomware Nas Qnap

[paolinoweb]

https://www.dday.it/redazione/39277/un- ... n-password

[Paolofast]

https://www.dday.it/redazione/39277/un- ... n-password

Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.

Le prime fonti che ho consultato glissano su come il ransomware sia stato installato.

Tiro a caso: chi dovrebbe tenere aggiornato il NAS, invece di aggiornare ha installato la "versione speciale di Flash per vedere gratis un noto sito porno a pagamento", o qualcosa di simile.

[RickS]

https://www.dday.it/redazione/39277/un- ... n-password

Se ho ben capito è un ransomware che colpisce, guarda caso, chi non aggiorna regolarmente software e firmware di sicurezza, visto che sfrutta un bug già chiuso da Qnap.

Le prime fonti che ho consultato glissano su come il ransomware sia stato installato.

Tiro a caso: chi dovrebbe tenere aggiornato il NAS, invece di aggiornare ha installato la "versione speciale di Flash per vedere gratis un noto sito porno a pagamento", o qualcosa di simile.

Non proprio
https://www.qnap.com/en/news/2021/respo ... e-qnap-nas
Versione in italiano https://www.qnap.com/it-it/news/2021/ri ... l-qnap-nas
https://www.qnap.com/it-it/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13

Come già in passato sia per Qnap che per Synology usa falle in alcuni dei servizi del NAS.
In questo caso:
Media Streaming add-on
Media Streaming add-on
Ma sopratutto:
Multimedia Console che è il modulo usato dal QNAP per visualizzare video, fare transcodifica, ecc, in pratica il modulo usato dalla maggior parte degli utenti per vedere i video caricati sul NAS sulla TV o sul Computer.
E per video intendo anche chi a rippato su NAS i propri DVD, per vederli sulla TV, ma anche sul PC, Mac, iCosi, Android, ecc.
E giusto per non farci mancare nulla anche: HBS 3 Hybrid Backup Sync:
Che e il modulo o App per fare fare al NAS i Backup in rete del NAS, ma anche locali sul NAS

In passato hanno usato una falle nel motore del database SQL usato dai chi utilizzava il NAS come web server, nei servizi di condivisione Windows (SMB), ecc.
Ma ci sono state tante altre falle.

Il Firmware finale aggiornato per chiudere queste falle è uscito il 16 Aprile 2021, 9 giorni fa.
Uno potrebbe dire che dal 16 aprile al 26 c'era abbastanza tempo per aggiornare, obiezione più che corretta, se non fosse che in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti.
Di conseguenza su molti forum si consigliano gli utenti di aspettare qualche giorno, la solita settimana, prima di aggiornare i loro NAS, sopratutto nel caso servano per lavoro, dove un down del NAS potrebbe creare non pochi problemi.

EDIT:
Per chi ha un NAS QNAP consigli anche di andare a vedere sul Forum di supporto in italiano. https://www.qnapclub.it/viewtopic.php?f=6&t=18855

[Paolofast]

Grazie delle informazioni.
Lieto di non averci azzeccato quando ho pensato male.
Purtroppo i vari siti, compreso quello linkato da paolinoweb-due-, che parlano di questo ramsomware non forniscono, non dico i link che hai messo tu, ma neppure un accenno su come quel malware sia entrato.

Ho letto però, nei commenti a questi articoli, che una buona parte dei NAS colpiti lo sono stati dopo l'uscita dell'aggiornamento.
Uno in particolare diceva che nel suo ufficio ci sono 4 NAS, tre gestiti da lui ed aggiornati regolarmente ed uno gestito da un "pigro" che aggiorna quando capita.
Indovina quale NAS è stato colpito?

Il fatto che "in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti" non depone certo a favore di Qnap, ma un aggiornamento specifico per un ramsomware, personalmente, avrei rischiato a farlo immediatamente.

Da quello che ho capito però il ramsomware ha colpito i NAS che si affacciano direttamente su Internet, non certo quelli usati esclusivamente su rete interna senza uscite verso l'esterno.

Domanda, visto che sei molto più esperto di me: un firewall ben configurato avrebbe aiutato o il NAS sarebbe stato "bucato" ugualmente?

[paolinoweb]

https://www.qnap.com/it-it/app_releasen ... areRemover

[RickS]

Grazie delle informazioni.
Lieto di non averci azzeccato quando ho pensato male.
Purtroppo i vari siti, compreso quello linkato da paolinoweb-due-, che parlano di questo ramsomware non forniscono, non dico i link che hai messo tu, ma neppure un accenno su come quel malware sia entrato.

Ho letto però, nei commenti a questi articoli, che una buona parte dei NAS colpiti lo sono stati dopo l'uscita dell'aggiornamento.
Uno in particolare diceva che nel suo ufficio ci sono 4 NAS, tre gestiti da lui ed aggiornati regolarmente ed uno gestito da un "pigro" che aggiorna quando capita.
Indovina quale NAS è stato colpito?

Il fatto che "in passato, anche nel recentissimo passato, diversi aggiornamenti del firmware del QNAP hanno introdotti problemi catastrofici alla stabilità ed al funzionamento dei NAS, ed hanno costretto gli utenti a fare i salti mortali per farli tornare funzionanti" non depone certo a favore di Qnap, ma un aggiornamento specifico per un ramsomware, personalmente, avrei rischiato a farlo immediatamente.

Da quello che ho capito però il ramsomware ha colpito i NAS che si affacciano direttamente su Internet, non certo quelli usati esclusivamente su rete interna senza uscite verso l'esterno.

Domanda, visto che sei molto più esperto di me: un firewall ben configurato avrebbe aiutato o il NAS sarebbe stato "bucato" ugualmente?

Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.
Se ad esempio io voglio usare il NAS come mio cloud personale devo attivare tutta una serie di servizi, dal QNAPCloud in poi, se uni di quei servizi ha falle conosciute un attaccante le può sfruttare insieme ad altre falle per iniettarmi un malware o fare qualsiasi altra cosa, se usa falle che permettono di scalare i privilegi "priviliege escalation", non c'è molto che si possa fare, anche disabilitare l'utente admin può non servire.
Ovviamente ci sono tecniche per diminuire il pericolo, ma:
1) Non sono alla portata di tutti
2) Alla fine si tratta spesso di rinunciare a determinate caratteristiche o possibilità, ed se a me quelle caratteristiche o possibilità servono, se sono la ragione per la quale ho comprato il NAS che faccio ?

[RickS]

https://www.qnap.com/it-it/app_releasen ... areRemover

Si da installare assolutamente, anche se si ha il firmware aggiornato.

[spegahsheen]

https://www.qnap.com/it-it/app_releasen ... areRemover

Si da installare assolutamente, anche se si ha il firmware aggiornato.

Seguendo il link vedo che l'ultima versione dello strumento di rimozione è del 23 aprile 2021, ma sul mio sistema l'ultima versione disponibile è precedente: 3.6.0.2/4.6.0.2 del 10 novembre 2020.
Che ne pensate? aspetto AstraZeneca?

[Paolofast]

Non è detto per entrare spesso vengono sfruttate delle falle dei vari servizi cloud disponibili sul QNAP, che molte persone usano, non solo perché comodi, ma perché spesso sono la ragione per la quale comprano il NAS.
Se ad esempio io voglio usare il NAS come mio cloud personale devo attivare tutta una serie di servizi, dal QNAPCloud in poi, se uni di quei servizi ha falle conosciute un attaccante le può sfruttare insieme ad altre falle per iniettarmi un malware o fare qualsiasi altra cosa, se usa falle che permettono di scalare i privilegi "priviliege escalation", non c'è molto che si possa fare, anche disabilitare l'utente admin può non servire.
Ovviamente ci sono tecniche per diminuire il pericolo, ma:
1) Non sono alla portata di tutti
2) Alla fine si tratta spesso di rinunciare a determinate caratteristiche o possibilità, ed se a me quelle caratteristiche o possibilità servono, se sono la ragione per la quale ho comprato il NAS che faccio ?

Insomma, se voglio certe caratteristiche, devo essere pronto ad un rischio ragionevole.
Il solito rapporto rischi-benefici.

Capito, grazie.

[Pingus]

Scusate, magari l'avete scritto e mi è scappato. Ammetto che ho letto tutto molto velocemente.
Ho i QNAP sia a casa che in ufficio.
E come spesso faccio, aggiorno raramente.

Lo so è una scelta discutibile, come secondo me è discutibile usare app/sistemi in beta o peggio in alfa.
Per esempio io sono ancora su HighSierra e ci rimango.
Ma passiamo avanti, che qui il discorso è un altro.

Non ho ben capito come sia possibile essere attaccati da questo ransomware.
Cioè, uso il NAS, solo per condivisioni locali, servizi locali, etc e lo prendo comunque.
Oppure vengo attaccato solo se scarico determinati software.
Oppure solo se apro il NAS QNAP verso il web, tipo cloud o server web.
Oppure è una falla talmente grande che entrano nel NAS attraverso il router e firewall e brasano via tutto sul NAS.

A quale livello siamo? Dove parte l'attacco?
Grazie!

[paolinoweb]

Descrizione dell'incidente
Il 16 aprile 2021, QNAP ha rilasciato una versione aggiornata (16.0.0415) dell'applicazione Hybrid Backup Sync (HBS) per aggiungere nuove funzionalità e per risolvere alcuni problemi di sicurezza descritti nel QNAP Security Advisory QSA-21-13. Il 21 aprile, abbiamo iniziato a ricevere segnalazioni di utenti relative a possibili attacchi ransomware. Successivamente, dopo l'indagine iniziale, è stato confermato che il ransomwareQlocker stava sfruttando una delle vulnerabilità di HBS con patch contro i NAS QNAP senza patch direttamente collegati a Internet.

L'autore dell'attacco ha approfittato di una vulnerabilità HBS con patch. Sfruttando tale debolezza, il malware poteva ottenere un livello di autorizzazione inappropriato del NAS QNAP coinvolto. Dopo che il NAS erastato violato, l'autore dell'attacco inseriva un codice maligno nel sistema per cancellare tutte le snapshot e per comprimere i file dell'utente con una password utilizzando l'utilità 7-Zip integrata destinata alle normali operazioni di compressione/decompressione dei file. Dopo l'inizio della crittografia, Qlocker rilascerà una nota di riscatto e si autoeliminerà per aumentare la difficoltà dell'indagine.

Valutando le informazioni limitate raccolte dai primi casi segnalati, abbiamo rilasciato regole di rilevamento aggiornate dell'app QNAP NAS Malware Remover per rilevare e fermare le attività del malware. Abbiamo anche aggiunto brevi script per tentare l'estrazione della chiave di crittografia durante la compressione.

Successivamente, il 22 aprile, abbiamo rilasciato una parte di Product Security News per invitare i nostri utenti a installare tutti gli aggiornamenti rilasciati di recente prima di poter confermare il percorso di attacco effettivo. Quindi, dopo aver identificato il percorso, abbiamo aggiornato nuovamente la regola di Malware Remover per mettere in quarantena il codice HBS in questione per i NAS QNAP senza patch.

https://www.qnap.com/static/landing/202 ... nse/it-it/

[paolinoweb]

Aggiungo questo :

https://www.qnap.com/it-it/security-adv ... ry_details

E' l'elenco delle vulnerabilità dei Qnap ... sotto l'ultima del 14 maggio... la trovate nell'elenco sopra....

https://www.qnap.com/it-it/security-advisory/qsa-21-18

Non credevo che fossero cosi tante.

Leggendo un po' dicono possibilmente di non collegare il Nas su internet, nel caso di bisogno cambiare le porte di default - 443 e 8080 - utilizzare una VPN, aggiornare sempre i Qnap e i software in dotazione, abilitare la protezione dell'accesso IP per proteggere dagli attacchi di forza bruta.

Queste sono raccomandazioni generali che ho letto nelle varie vulnerabilità, poi ci saranno patch e rimuovi ramsomware che rilasceranno.

[Pingus]

è stato confermato che il ransomwareQlocker stava sfruttando una delle vulnerabilità di HBS con patch contro i NAS QNAP senza patch direttamente collegati a Internet

L'autore dell'attacco ha approfittato di una vulnerabilità HBS con patch. Sfruttando tale debolezza, il malware poteva ottenere un livello di autorizzazione inappropriato del NAS QNAP coinvolto. Dopo che il NAS erastato violato, l'autore dell'attacco inseriva un codice maligno nel sistema per cancellare tutte le snapshot e per comprimere i file dell'utente con una password utilizzando l'utilità 7-Zip integrata destinata alle normali operazioni di compressione/decompressione dei file. Dopo l'inizio della crittografia, Qlocker rilascerà una nota di riscatto e si autoeliminerà per aumentare la difficoltà dell'indagine.

Voi avete capito -come- ?!

io no

Chi mi fa un esempio di come uno di voi è in grado di replicare la situazione.
Adesso le info sono pubbliche.
I miei NAS QNAP sono collegati alla connessione internet, dietro firewall e router.
Le applicazioni installate sono solo quelle di QNAP.

Come si fa ad attaccarmi ed ottenere un livello di autorizzazione inappropriato del NAS QNAP?

[Pingus]

abilitare la protezione dell'accesso IP per proteggere dagli attacchi di forza bruta

Come fa qualcuno ad iniziare l'operazione di brute force, se il mio NAS è dietro firewall/router?
Devo per forza di cose esporlo direttamente.
Cosa che non farei mai.
Il NAS non è esposto nemmeno se abiliti la funzione cloud.

[paolinoweb]

Voi avete capito -come- ?!

io no

Chi mi fa un esempio di come uno di voi è in grado di replicare la situazione.
Adesso le info sono pubbliche.
I miei NAS QNAP sono collegati alla connessione internet, dietro firewall e router.
Le applicazioni installate sono solo quelle di QNAP.

Come si fa ad attaccarmi ed ottenere un livello di autorizzazione inappropriato del NAS QNAP?

Da quel che ho capito l'attacco arriva con i Qnap collegati ad internet, ma sempre se ho capito bene hanno sfruttato anche Hybrid Backup Sync (HBS) l'applicazione per il backup.

Leggi anche il post che ho pubblicato dopo con l'elenco delle vulnerabilità. Sono tante, il sistema operativo di Qnap ha grosse falle ecco come entrano, sfruttandole. Il firewall può proteggere, ma se gli lasci aperte le porte di default che vengono utilizzate per gli attacchi, serve a poco.. cambiare le porte direi che è prima cosa da fare oltre ad aggiornare tutto.

Leggi le raccomandazioni che Qnap ha pubblicato sulle tante vulnerabilità ed applicale