Los piratas informáticos se dirigen a los dispositivos NAS de QNAP con malware de minería criptográfica
Si tiene una unidad de almacenamiento conectada a la red de QNAP, debe ir y parchearla ahora. A principios de marzo de 2020, los investigadores de seguridad de 360 Netlab de Qihoo identificaron una vulnerabilidad en los dispositivos NAS de QNAP en explotación activa.
Parche su NAS de QNAP
Los atacantes están intentando tomar el control del hardware del NAS de QNAP para instalar malware de minería de criptomonedas, que extrae criptomonedas en nombre del atacante.
El equipo de investigación de 360 Netlab cree que hay más de 4 millones de dispositivos NAS de QNAP vulnerables en línea con más de 950.000 direcciones IP únicas, todas asignadas mediante el sistema de mapas Quake de Qihoo.
La vulnerabilidad se relaciona con dos vulnerabilidades de ejecución de comandos remotos, CVE-2020-2506 y CVE-2020-2507 , que, cuando se explotan, permiten al atacante obtener privilegios de root en el NAS comprometido. Una vez que un atacante tiene acceso de root, puede hacer casi lo que quiera en la máquina.
Aunque las vulnerabilidades son serias, el equipo de investigación no ha hecho pública su prueba de concepto de exploits ni ha publicado ningún detalle técnico relacionado con las vulnerabilidades, lo que da tiempo a los usuarios de QNAP afectados para parchear su hardware.
Nombramos el programa de minería UnityMiner, notamos que el atacante personalizó el programa ocultando el proceso de minería y la información real sobre el uso de recursos de memoria de la CPU, por lo que cuando los usuarios de QNAP verifican el uso del sistema a través de la interfaz de administración WEB, no pueden ver el comportamiento anormal del sistema. .
Cualquier dispositivo NAS de QNAP con firmware instalado antes de agosto de 2020 es actualmente vulnerable al exploit, que cubre alrededor de 100 versiones diferentes del firmware del NAS de QNAP. La publicación del blog Qihoo 360 Netlab detalla el malware de minería criptográfica con más detalle, incluidas todas las versiones de firmware actualmente afectadas.
Los usuarios del NAS de QNAP deben dirigirse a la página de parches de QNAP , descargar los parches más recientes e instalarlos lo antes posible. Si bien QNAP aún no ha respondido directamente a las revelaciones de Qihoo con respecto a la vulnerabilidad, este es el parche más reciente disponible para el hardware.
Cajas NAS de QNAP previamente dirigidas
Esta no es la primera vez que se ataca al hardware NAS de QNAP.
En diciembre de 2020, QNAP emitió una advertencia con respecto a dos errores de secuencias de comandos de sitios cruzados de alta gravedad que permitían el acceso remoto de un atacante. Antes de eso, en septiembre de 2020, los usuarios de QNAP se vieron afectados por el ransomware AgeLocker, que infectó miles de dispositivos NAS de QNAP expuestos públicamente.
Sin embargo, otra variante de ransomware también se dirigió específicamente a los dispositivos NAS de QNAP, y el gran regalo fue el nombre: QNAPCrypt. Dicho esto, el ransomware QNAPCrypt también se dirigió a otros proveedores de NAS, como Synology, Seagate y Netgear.
Por el momento, los usuarios de QNAP deben dirigirse a la página de parches previamente vinculada y seguir las instrucciones para proteger los dispositivos en línea.