venerdì 8 novembre 2019

Qsnatch: il malware che colpisce (anche in Italia) i dispositivi QNAP


L'alert è di metà Ottobre, ma alcuni casi di infezione in Europa sono stati denunciati soltanto pochi giorni fa: parliamo di Qsnatch, il nuovo malware progettato per colpire soltanto i dispositivi QNAP, scoperto dagli specialisti del National Cyber Security Center Finland (qui l'alert). 

Il record di infezioni in Europa per ora spetta alla Germania, con oltre 7000 dispositivi colpiti, stando ai dati pubblicati proprio dal CERT tedesco, ma si registrano alcune centinaia di casi anche in Italia, come indicato dalla mappa sottostante:


Non è chiaro, ancora, il vettore, ma la catena di infezione è nota: questa si avvia con l'iniezione del codice dannoso nel firmware dei dispositivi NAS QNAP e viene eseguito come parte delle normali operazioni svolte entro il dispositivo stesso.  Compromesso il firmware, il malware provvedere a recuperare ulteriore codice dannoso dai suoi server C6C. Non è chiaro ancora chiaro come, ma Qsnatch si esegue sul QNAP coi diritti di sistema. 

Che cosa fa Qsnatch
  • impedisce aggiornamenti del firmware e di altre applicazioni sovrascrivendo e deviando le URL degli aggiornamenti;
  • impedisce l'esecuzione dell'app QNAP MalwareRemover;
  • essendo modulare, può scaricare ulteriori moduli dai serve C&C per ampliare le funzionalità dannose;
  • ruba le credenziali degli utenti e le invia ai server C&C;
  • imposta l'attività di call-home sui server C&C perchè si esegua a intervalli prestabiliti. Il malware così si auto aggiornerà, riceverà ulteriori istruzioni e invierà nuovi dati sottratti ad intervalli regolari. 

I dispositivi vulnerabili
Qnap ha pubblicato un apposito bollettino, dove elenca, tra le altre cose, i dispositivi vulnerabili a questo malware. Ecco l'elenco:
  • Dispositivi NAS QNAP con QTS 4.2.6 build 20181227;
  • QTS 4.3.3 build 20190102;
  • QTS 4.3.4 build 20190102;
  • QTS 4.3.6 build 20181228 e versioni precedenti.

Qnap ha fatto anche sapere, dato che il malware impedisce l'individuazione degli aggiornamenti e l'esecuzione del Malware Remote, di aver implementato e migliorato i meccanismi di sicurezza built-in nelle versioni sotto elencate. L'aggiornamento a queste versioni di QTS consente il blocco del malware:
  • QTS 4.3.6: QTS 4.3.6 build 20190328 e successivi
  • QTS 4.3.4: QTS 4.3.4 build 20190322 e successivi
  • QTS 4.3.3: QTS 4.3.3 build 20190322 e successivi
  • QTS 4.2.6: QTS 4.2.6 build 20190322 e successivi
Anche il Malware Remover è stato aggiornato: le versioni 3.5.4.0 e 4.5.4.0 sono state aggiornate in data 1° Novembre con una serie di regole aggiuntive che rendono l'applicazione di sicurezza capace di rimuovere Qsnatch. 

Oltre al bollettino tecnico/informativo, QNAP ha rilasciato anche un comunicato con alcuni passaggi  da eseguire per mettere in sicurezza il dispositivo. 

Per evitare l'attacco
  • aggiornare QTS all'ultima versione disponibile;
  • installare e aggiornare il Security Counselor all'ultima versione;
  • installare e aggiornare il Malware Remover all'ultima versione;
  • utilizzare credenziali solide, sopratutto per l'admin;
  • abilitare la protezione IP e account per prevenire attacchi di brute-force;
  • disabilitare le connessioni SSH e Telnet, a meno che tali servizi non siano necessari;
  • evitare l'utilizzo delle porte 443 e 8080. 

Per installare l'update di QTS
  • fai login come admin
  • vai su Pannello di Controllo > Sistema > Aggiornamento Firmware
  • sotto "Live Update" clicca su "Verifica aggiornamenti", quindi installa l'ultima versione disponibile. 

Ulteriori misure di sicurezza dopo la rimozione di Qsnatch
  • rimuovi eventuali account utente sconosciuti;
  • rimuovi applicazioni sconosciute o non utilizzate;
  • installa l'ultimo aggiornamento del firmware disponibile;
  • modifica le credenziali di tutti gli account presenti sul dispositivo.
I precedenti: 
Non è la prima volta che vengono individuati in diffusione malware pensati appositamente per i dispositivi QNAP. Ad inizio Ottobre la compagnia stessa emanò un alert riguardante un vero e proprio assedio contro dispositivi con password deboli per server SQL ed eseguenti phpMyAdmin: era in diffusione il ransomware Muhstik. 

Luglio ha visto la diffusione di un altro ransomware per QNAP, chiamato QNAPCrypt o eChOraix: colpiva principalmente dispositivi con password deboli  firmware QTS non aggiornati. Il ransomware è risolvibile: ne abbiamo parlato qui

Nel maggio 2018 invece, QNAP notificò ai propri utenti una campagna in corso di diffusione del malware VPNFilter contro dispositivi NAS con credenziali di default sull'amministratore. 

Nessun commento:

Posta un commento