Bug critico zero-day QNAP NAS sfruttato per fornire DeadBolt Ransomware

Una vulnerabilità di sicurezza critica zero-day nei dispositivi NAS (Network-Attached Storage) di QNAP è stata attivamente sfruttata per fornire la variante del ransomware DeadBolt.

Il fornitore ha avvertito che lo sfruttamento è stato individuato per la prima volta durante il fine settimana e che "la campagna sembra prendere di mira i dispositivi QNAP NAS che eseguono Photo Station con esposizione a Internet". Photo Station consente agli utenti di archiviare e gestire centralmente foto a piena risoluzione su tutti i dispositivi tramite QNAP NAS.

QNAP sta tenendo nascosti i dettagli del bug per ora, ma lo ha consigliato la sua consulenza
che gli utenti disabilitino la funzione di port forwarding sul router per mitigare il rischio (insieme all'applicazione di password complesse e all'esecuzione di backup regolari dei dati).

La scoperta ha anche spinto l'azienda a distribuire una correzione del firmware di emergenza. Le versioni aggiornate sono:

• QTS 5.0.1: Photo Station 6.1.2 e versioni successive
• QTS 5.0.0/4.5.x: Photo Station 6.0.22 e versioni successive
• QTS 4.3.6: Photo Station 5.7.18 e versioni successive
• QTS 4.3.3: Photo Station 5.4.15 e versioni successive
• QTS 4.2.6: Photo Station 5.2.14 e versioni successive

La banda DeadBolt ha martellato duramente QNAP NAS quest'anno; questa è solo l'ultima campagna che utilizza bug nel sistema per infettare i dispositivi. Precedente a maggio si sono verificate ondate di sfruttamento utilizzando vulnerabilità note e due volte a giugno.

DeadBolt si distingue dalle altre famiglie di ransomware incentrate sui NAS, ricercatori notato all'inizio di quest'anno, perché implementa uno schema a più livelli rivolto sia ai venditori che alle loro vittime e offre molteplici opzioni di pagamento in criptovaluta.