Malware tager fuld kontrol over tusindvis af NAS-enheder

Sikkerhedsløsning er ifølge selskabet blevet udgivet.

En ny malware, som er specifikt designet til at angribe NAS-enheder (network attached storage), er nu i gang med at sprede sig i højt tempo. Det fortæller blandt andre mediet Bleeping Computer.

Malwaren har fået navnet QSnatch og rammer NAS-enheder fra den taiwanske producent QNAP, hvor den er i stand til at udføre en række forskellige ondsindede aktiviteter.

Har ramt Tyskland

Det tyske bureau CERTBund (Computer Emergency Response Team) lagde for nylig en besked på Twitter, hvor de hævder, at malwaren er fundet på mindst 7.000 NAS-enheder i Tyskland, og det finske bureau NCSC-FI (National Cyber Security Centre) beskriver softwaren nærmere på sine hjemmesider.

Ifølge NCSC-FI injiceres koden i hardwaren på enhederne og bruges derefter til at downloade yderligere ondsindet kode fra C&C-serveren (command and control), som køres i operativsystemet med systemrettigheder.

Der bruges koden til blandt andet at indhente brugernavn og password, som sendes videre til C&C-serveren, at modificere scriptet og forhindre hardware-opdateringer, samt at forhindre QNAP Malware Remover-applikationen – som bruges til at fjerne malware fra QNAP-enheder – i at køre.

Derudover oplyser sikkerhedsforskerne, at den ondsindede kode har modulære egenskaber, som gør, at den kan bruges til andre typer funktionalitet ved at hente ny kode fra C&C-serveren.

Meget alvorligt

Producenten QNAP omtaler selv malwaren i en sikkerhedsmeddelelse og giver QSnatch-softwaren betegnelsen meget alvorlig.

Selskabet har udgivet en opdatering til at uskadeliggøre softwaren, men det er ikke bekræftet, at opdateringen fungerer.

Ifølge NCSC-FI er en fuld fabriks-reset et andet alternativ for at få has på problemet. Men dette sletter alle data fra enheden.

Andre forebyggende tiltag, som anbefales, er at ændre alle passwords for alle konti på NAS-enheden, fjerne eventuelle ukendte brugerkonti eller applikationer samt at sørge for, at hardwaren er opdateret.

Det anbefales også at installere og køre seneste version af QNAP Malware Remover.

NCSC-FI anbefaler ellers, at NAS-enheder ikke eksponeres for internettet uden firewallbeskyttelse mod eksterne angreb. Det er endnu uvist, hvad der er kilden til malwaren, og akkurat hvor stort omfanget er i øvrige lande.

Der er blevet fundet flere alvorlige sårbarheder i populære netværksprodukter den seneste tid, og NAS-enheder fra QNAP er blandt disse.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Jensen

Såvidt jeg læser skal NAS være direkte forbundet til Internettet via port 443 eller port 8080.

Personlig ville jeg aldrig lade en NAS være tilgængelig direkte på Internettet.
Der bør være en proxy mellem, og gerne en hvor du selv har fuld styr på software og opdateringer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere