Aanvallers maken gebruik van een kwetsbaarheid in oude NAS-toestellen van Zyxel om ze in te lijven in een botnet.
Oude NAS-toestellen van Zyxel worden geviseerd door criminelen. Die maken gebruik van eerder onthulde kwetsbaarheden om binnen te breken in de Zyxel-opslagservertjes, om ze vervolgens in te lijven in een botnet dat gelijkenissen vertoont met Mirai. Dat stelt de Shadowserver Foundation vast.
Kwetsbaarheid CVE-2024-29973 ligt aan de basis. Die laat hackers toe om de NAS-toestellen via een HTTP POST-request uit te buiten. De kwetsbaarheid kreeg score 9,8 toegewezen en is bijgevolg kritiek.
Ze treft firmware V5.21 en ouder op NAS326 en NAS342-toestellen van Zyxel. Wie een getroffen toestel heeft, kan de V5.21(AAZF.17)C0-patch installeren. Zyxel verdient een pluim voor die patches, aangezien beide NAS-toestellen eigenlijk geen ondersteuning meer genieten. Die liep af op 31 december vorig jaar. De fabrikant heeft gezien de ernst van de bug nu toch een patch voorzien. Je kan de update hier vinden.
Populair doelwit
NAS-toestellen zijn populaire doelwitten voor aanvallers, aangezien ze vaak veel onmisbare data bevatten. Dat maakt ze interessant voor ransomware. Verder zijn de dingen permanent online, maar genieten ze niet altijd hetzelfde niveau van beveiliging als een professionele server. Een NAS maakt zo een welkome toevoeging aan een botnet.
Vanuit het perspectief van een aanvaller, heeft een NAS dus veel te bieden. We zien daarom geregeld campagnes gericht op toestellen van populaire fabrikanten, zoals Qnap. Meer dan ooit is het voor eigenaars van een NAS cruciaal om de recentste beveiligingsupdates prompt door te voeren.