Hackers visam dispositivos QNAP NAS com malware de mineração de criptografia
Se você tiver uma unidade de armazenamento conectada à rede QNAP, você precisa fazer o patch agora. No início de março de 2020, os pesquisadores de segurança do 360 Netlab da Qihoo identificaram uma vulnerabilidade nos dispositivos NAS da QNAP sob exploração ativa.
Faça um patch no seu QNAP NAS
Os invasores estão tentando assumir o controle do hardware QNAP NAS para instalar malware de mineração de criptomoedas, que extrai criptomoedas em nome do invasor.
A equipe de pesquisa da 360 Netlab acredita que há mais de 4 milhões de dispositivos QNAP NAS vulneráveis online com mais de 950.000 endereços IP exclusivos, todos mapeados usando o sistema de mapeamento Quake da Qihoo.
A vulnerabilidade está relacionada a duas vulnerabilidades de execução de comando remoto, CVE-2020-2506 e CVE-2020-2507 , que, quando exploradas, permitem que o invasor obtenha privilégio de root no NAS comprometido. Depois que um invasor tem acesso root, ele pode fazer quase o que quiser na máquina.
Embora as vulnerabilidades sejam sérias, a equipe de pesquisa não tornou pública sua prova de conceito de exploração nem divulgou quaisquer detalhes técnicos relacionados às vulnerabilidades, dando aos usuários QNAP afetados tempo para corrigir seu hardware.
Chamamos o programa de mineração de UnityMiner, notamos que o invasor personalizou o programa ocultando o processo de mineração e as informações reais de uso de recursos de memória da CPU, de modo que quando os usuários QNAP verificam o uso do sistema através da interface de gerenciamento WEB, eles não podem ver o comportamento anormal do sistema .
Qualquer dispositivo QNAP NAS com firmware instalado antes de agosto de 2020 está atualmente vulnerável ao exploit, cobrindo cerca de 100 versões diferentes do firmware NAS da QNAP. A postagem do blog Qihoo 360 Netlab detalha o malware de mineração de criptografia em mais detalhes, incluindo todas as versões de firmware atualmente afetadas.
Os usuários do QNAP NAS devem acessar a página de patch QNAP , baixar os patches mais recentes e instalá-los o mais rápido possível. Embora a QNAP ainda não tenha dado uma resposta direta às revelações da Qihoo sobre a vulnerabilidade, este é o patch mais recente disponível para o hardware.
Caixas QNAP NAS previamente direcionadas
Esta não é a primeira vez que o hardware NAS da QNAP é visado.
Em dezembro de 2020, a QNAP emitiu um aviso sobre dois bugs de cross-site scripting de alta gravidade que permitiam a um invasor acesso remoto. Antes disso, em setembro de 2020, os usuários QNAP foram atingidos pelo ransomware AgeLocker, que infectou milhares de dispositivos QNAP NAS expostos publicamente.
Ainda outra variante de ransomware também visava especificamente dispositivos QNAP NAS, sendo a grande oferta o nome: QNAPCrypt. Dito isso, o ransomware QNAPCrypt também tinha como alvo outros provedores de NAS, como Synology, Seagate e Netgear.
Por enquanto, os usuários QNAP devem ir para a página de patch anteriormente vinculada e seguir as instruções para proteger os dispositivos online.