I dispositivi NAS QNAP non patchati sono di nuovo protagonisti una ondata di attacchi mirati: questa volta nessun ransomware, è invece in corso una massiva campagna che mirata alla diffusione di criptominer. D'altronde pare essere l'anno dei criptominer, i cui assetati sfruttatori stanno lasciando a bocca asciutta il mercato delle schede grafiche e perfino dei pc da gaming pur di ottenere nuova potenza di calcolo. E ora la fila delle vittime di questo business opaco e sempre più sconfinante nell'illegalità, si allunga coi NAS QNAP.
L'attuale ondata sfrutta due diverse vulnerabilità di esecuzione di comandi da remoto pre autenticazione: trattarsi di due vulnerabilità, la CVE-2020-2506 e la CVE-2020-2507, residenti nella patch dell'app QNAP HelpDesk diffusa nell'Ottobre 2020.
Il malware che viene diffuso attualmente, individuato dai ricercatori di 360 Netlab, è stato ribattezzato UnityMiner. Gli sviluppatori del criptominer hanno personalizzato il malware nascondendo sia il processo di mining sia le informazioni sull'uso reale della CPU: di conseguenza gli utenti che utilizzano il sistema di interfaccia di gestione WEB per verificare l'uso del sistema, non possono vedere alcun comportamento anomalo.
Sono vulnerabili a questo tipo di attacco tutti i NAS QNAP i cui firmware sono stati rilasciati prima dell'Agosto 2020.
Stando ai dati telemetrici di 360 NetLab questa campagna ha avuto il via il 3 Marzo, o almeno questa è la data in cui sono state individuate le prime violazioni. Ma i numeri sono già estremamente preoccupanti: i ricercatori hanno eseguito una mappatura dei NAS QNAP vulnerabili che risultano online, individuandone 4.297.426. Di questi, circa 370.000 si trovano in Italia, stato europeo col maggior numero di dispositivi esposti
 |
| Fonte: 360 Netlab |
QNAP, da parte sua, anche se non ha pubblicato un alert specifico per avvisare i propri clienti degli attacchi attualmente in corso, ha comunque già invitato gli utenti, lo scorso mese, ad aggiornare le app Update Surveillance Station e Helpdesk per risolvere le vulnerabilità di sicurezza sulle quali si basa la campagna di attacco.
Non solo: già nel mese di Gennaio era stato diffuso da parte di QNAP un primo avviso rispetto a una serie di attacchi mirati a sfruttare i NAS QNAP per il mining di criptovaluta. Tale alert seguiva un articolo pubblicato a Novembre col quale QNAP illustrava il rischio di compromissione dei NAS con un miner malware per Bitcoin.
I NAS QNAP sotto assedio
Insomma, ormai da tempo, i NAS QNAP subiscono quello che non è esagerato definire un vero e proprio assedio: tra settembre e ottobre 2019 protagonisti furono il malware QSnatch e il ransomware Mushtik. Nell'Agosto del 2019 è stata la volta del ransomware QNAPCrypt che colpì duramente i NAS QNAP con password deboli e firmware QTS obsoleto.
Più recentemente, siamo nel Settembre 2020, fu QNAP stessa ad informare i clienti di ondate di attacchi che distribuivano il ransomware AgeLocker sui dispositivi esposti pubblicamente.
Invitiamo tutti gli utenti di NAS QNAP a provvedere ad installare PRIMA POSSIBILE le patch di sicurezza rilasciate.
Nessun commento:
Posta un commento