Error crítico de día cero del NAS de QNAP explotado para generar ransomware DeadBolt

Una vulnerabilidad de seguridad crítica de día cero en los dispositivos de almacenamiento conectado a la red (NAS) de QNAP se ha explotado activamente en la naturaleza para entregar la variante de ransomware DeadBolt.

El proveedor advirtió que la explotación se detectó por primera vez durante el fin de semana y que "la campaña parece estar dirigida a los dispositivos NAS de QNAP que ejecutan Photo Station con exposición a Internet". Photo Station permite a los usuarios almacenar y administrar centralmente fotos de resolución completa en todos los dispositivos a través de QNAP NAS.

QNAP mantiene los detalles del error en secreto por ahora, pero lo recomendó en su aviso
que los usuarios deshabiliten la función de reenvío de puertos en el enrutador para ayudar a mitigar su riesgo (junto con la aplicación de contraseñas seguras y la realización de copias de seguridad de datos periódicas).

El descubrimiento también llevó a la compañía a lanzar una corrección de firmware de emergencia. Las versiones actualizadas son:

• QTS 5.0.1: Photo Station 6.1.2 y posterior
• QTS 5.0.0/4.5.x: Photo Station 6.0.22 y posterior
• QTS 4.3.6: Photo Station 5.7.18 y posterior
• QTS 4.3.3: Photo Station 5.4.15 y posterior
• QTS 4.2.6: Photo Station 5.2.14 y posterior

La pandilla DeadBolt ha estado golpeando duramente al NAS de QNAP este año; esta es solo la última campaña que usa errores en el sistema para infectar dispositivos. Anterior olas de explotación se vieron en mayo usando vulnerabilidades conocidas, y dos veces en junio.

DeadBolt se distingue de otras familias de ransomware centradas en NAS, investigadores señaló a principios de este año, porque implementa un esquema de varios niveles dirigido tanto a los vendedores como a sus víctimas, y ofrece múltiples opciones de pago en criptomonedas.