Eine kritische Zero-Day-Sicherheitslücke in NAS-Geräten (Network-Attached Storage) von QNAP wurde aktiv ausgenutzt, um die Ransomware-Variante DeadBolt bereitzustellen.
Der Anbieter warnte davor, dass die Ausnutzung erstmals am Wochenende entdeckt wurde und dass „die Kampagne offenbar auf QNAP NAS-Geräte abzielt, auf denen Photo Station mit Internetpräsenz läuft“. Photo Station ermöglicht Benutzern das zentrale Speichern und Verwalten von Fotos in voller Auflösung auf allen Geräten über QNAP NAS.
QNAP hält die Details des Fehlers vorerst unter Verschluss, hat es aber empfohlen seine Beratung
dass Benutzer die Portweiterleitungsfunktion auf dem Router deaktivieren, um ihr Risiko zu mindern (zusammen mit der Verwendung starker Kennwörter und der Durchführung regelmäßiger Datensicherungen).
Die Entdeckung veranlasste das Unternehmen auch, einen Notfall-Firmware-Fix herauszubringen. Die aktualisierten Versionen sind:
- QTS 5.0.1: Photo Station 6.1.2 und höher
- QTS 5.0.0/4.5.x: Photo Station 6.0.22 und höher
- QTS 4.3.6: Photo Station 5.7.18 und höher
- QTS 4.3.3: Photo Station 5.4.15 und höher
- QTS 4.2.6: Photo Station 5.2.14 und höher
Die DeadBolt-Bande hat QNAP NAS dieses Jahr hart gehämmert; Dies ist nur die neueste Kampagne, bei der Fehler im System verwendet werden, um Geräte zu infizieren. Vorherige Wellen der Ausbeutung wurden im Mai beobachtet Nutzung bekannter Schwachstellen und zweimal im Juni.
DeadBolt unterscheidet sich von anderen NAS-fokussierten Ransomware-Familien, Forscher Anfang dieses Jahres notiert, weil es ein mehrstufiges Schema einsetzt, das sich sowohl an die Anbieter als auch an ihre Opfer richtet und mehrere Zahlungsoptionen für Kryptowährungen anbietet.