QNAP patcht kritieke lekken die ransomware faciliteerden

Abonneer je gratis op Techzine!

QNAP heeft meerdere updates uitgebracht tegen kwetsbaarheden die actief werden uitgebuit. Het bedrijf raadt gebruikers aan om de updates onmiddellijk te installeren om te beschermen tegen de Qlocker en eCh0raix-ransomware.

Recentelijk zijn een groot aantal nas-systemen van QNAP ten prooi gevallen aan de ransomware-aanvallen Qlocker en eCh0raix, vertelt het bedrijf. Aanvallers wisten in te breken op de nas-systemen, verplaatsten de bestanden erop naar een 7zip-archief met een wachtwoord en vroegen om losgeld om toegang tot de bestanden terug te krijgen. Het gevraagde bedrag was 0,01 bitcoin, ongeveer 400 euro. Om binnen te komen, maakten de aanvallers gebruik van drie kwetsbaarheden die op de nas-systemen aanwezig waren:

  • CVE-2020-36195 was een mogelijkheid om met behulp van sql-injectie in te breken via de Multimedia Console- en Media Streaming Add-on-apps.
  • CVE-2021-28799 was een kwetsbaarheid in Hybrid Backup Sync. Er bleken vaste inloggegevens ingebakken te zijn in de software. Aanvallers waren hierachter gekomen en hadden daarmee een backdoor tot de nas.
  • CVE-2020-2509 was een command injection-kwetsbaarheid in de QTS- en QuTS hero-besturingssystemen waarmee aanvallers de nas-systemen konden overnemen.

Dringend advies om updates te installeren

QNAP heeft inmiddels updates uitgebracht voor de Multimedia Console-, Media Streaming Add-on- en Hybrid Backup Sync-apps, waarmee het bedrijf claimt dat de systemen zijn beschermd tegen ransomware-aanvallen. Ook zijn de kwetsbaarheden in de besturingssystemen zelf gepatcht. Het bedrijf raadt iedereen dringend aan om de nieuwste versie te installeren van Malware Remover en die software voor de zekerheid een scan te laten doen op hun nas. Ook adviseert QNAP om de standaardpoort voor het bereiken van de gebruikersinterface te wijzigen van 8080 naar iets anders en te zorgen voor back-ups van de gegevens op de nas.

Zoektocht naar oplossingen voor slachtoffers

Het bedrijf vertelt nog hard te werken aan een oplossing om malware van geïnfecteerde apparaten te verwijderen. Slachtoffers van de ransomware worden aangeraden om hun nas niet uit te schakelen, een scan te doen met de nieuwste versie van Malware Remover en contact op te nemen met de technische ondersteuning van QNAP.

Jack Cable, die zichzelf een white hat hacker noemt op Twitter, wist 50 gebruikers te helpen met het ontsleutelen van hun gegevens. Hij had een kwetsbaarheid gevonden in het betaalsysteem van de aanvallers, schrijft CyberScoop. De hackers hebben de kwetsbaarheid inmiddels opgelost, dus helaas is die optie niet meer beschikbaar voor eventuele nieuwe slachtoffers.

Tip: Nieuwe variant Mirai-malware richt zich op NAS-devices