Ransomware maakt actief misbruik van kwetsbaarheden in NAS-toestellen van Qnap. De recentste updates zijn essentieel om misbruik te voorkomen.
NAS-toestellen van Qnap worden geviseerd door twee stukken ransomware die recent ontdekte kwetsbaarheden misbruiken. Het gaat om Qlocker en eCh0raix. De ransomware forceert zich een weg naar binnen en versleutelt de data op de NAS. Slachtoffers moeten losgeld betalen om hun data te ontgrendelen.
Nieuwe kwetsbaarheden
De ransomware maakt gebruik van twee nieuwe kwetsbaarheden: CVE-2020-36195 en CVE-2021-28799. De eerste fout betreft een SQL-injectielek in de multimediaconsole en media streaming-console. Die kunnen hackers misbruiken om zo uiteindelijk toegang te krijgen tot een NAS. De tweede fout is nog ernstiger: het gaat om hardgecodeerde loginggegevens in HBS 3 Hybrid Backup Sync. Met die credentials kunnen criminelen vlot toegang krijgen tot een NAS.
Qnap heeft de gaten in zijn software dichtgetimmerd met een update op 16 april. Wie een NAS van Qnap gebruikt, doet er goed aan die update meteen te installeren moest dat nog niet gebeurd zijn. De patch dekt ook een derde lek af. CVE-2020-2509 is een injectiekwetsbaarheid in QTS en QuTS hero die opnieuw kan uitgebuit worden om de controle over een toestel over te nemen.
Verdere maatregelen
Qnap raadt zijn gebruikers verder aan om de recentste versie van zijn eigen Malware Remover-tool te installeren en meteen een scan uit te voeren. Verder suggereert het bedrijf dat gebruikers de netwerkpoort van hun gebruikersinterface niet op de standaard poort 8080 laten staan. Tot slot geeft Qnap generisch advies dat altijd relevant is: voorzie voldoende back-ups en kies een degelijk wachtwoord.
Qnap geeft nog mee dat je je NAS niet mag uitschakelen wanneer data versleuteld zijn of worden. In de plaats daarvan moet je een malwarescan draaien en de technische ondersteuning contacteren.
Het is niet de eerste keer dat Qnap in het vizier komt van cybercriminelen. Vorig jaar kregen NAS’en van het bedrijf te kampen met verschillende malwarecampagnes. Aanvallers banen zich in de regel een weg naar binnen via software van Qnap die niet up to date is en lekken bevat. Qnap is niet de enige NAS-fabrikant die te kampen krijgt met dergelijke aanvallen. In 2019 nog werd concurrent Synology geviseerd.