Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
QNAP w panice zdalnie wymusił automatyczną instalację nowego firmware – aby ochronić klientów przed ransomware Deadbolt
O temacie donosi BleepingComputer:
Later that night, QNAP took more drastic action and force-updated the firmware for all customers’ NAS devices to version 5.0.0.1891, the latest universal firmware released on December 23rd, 2021.
Wg relacji użytkowników firmware jest instalowany, nawet gdy opcja automatycznych aktualizacji jest wyłączona.
Całość w odpowiedzi na ransomware Deadbolt, który opisywaliśmy niedawno:
Część użytkowników opisuje problemy, które wynikły z takich działań – niektórym przestało działać połączenie iSCSI, inni zakupili dekryptor, który został usunięty przez aktualizację:
Other users who had purchased the decryption key, and were in the process of decrypting, found that the firmware update also removed the ransomware executable and ransom screen used to initiate decryption. This prevented them from continuing the decryption process once the device finished updating.
~Michał Sajdak
Z jednej strony dbanie o bezpieczeństwo się chwali, z drugiej strony „nie” znaczy „nie” i decyzję o aktualizacjach automatycznych powinno się uszanować.
Z jednej storny dobrze, z jednej strony źle. Czyli tak średnio w sumie
To się własnie zastanawiałem, dlaczego w środku nocy o 01:15 mnie skurczybyk obudził (trzymam ten serwer w sypialni, prywatnie). W logach wyszło, że była aktualizacja i restart.
to bardzo interesująca informacja – ciekawe jakie jeszcze działania może zdalnie wykonać producent urządzenia bez wiedzy i zgody (a nawet przy zdecydowanym sprzeciwie) właściciela urządzenia
ta informacja wprost stwierdza że wszystko co trzymacie na urządzeniach marki qnap (i pewnie na wielu innych również) może być np publicznie dostępne dla bliżej nieznanej liczby osób
Z jednej strony bezpieczeństwo z drugiej nie pozwalają wyłączyć zbędnych usług. np. Multimedia Console.
Nie wiem po co wystawiać panel admina do internetu.
Miałem pytać co wybuchło po tej aktualizacji, ale widzę, że walnęło już bez zbędnego czekania.
Dla mnie to wizerunkowy strzał w kolano, bo pokazuje to że QNAP jest w stanie wymusić update pomimo wyłączenia tego. Jestem ciekaw co jeszcze mogą zrobić zdalnie, bo jeśli mogą dużo więcej to będzie trzeba pomyśleć nad zmianą vendora.
Na 3 urządzenia do których mam dostęp żadne nie zostało zaktualizowane automatycznie.
Update dostały chyba tylko te urządzenia gdzie ktoś nie zmienił ustawień aktualizacji albo były wystawione na świat w jakiś sposób.
Skoro dało się z zewnątrz wymusić aktualizację MIMO ZABRONIENIA tego, to zupełnie niszczy zaufanie do producenta takiego sprzętu i oprogramowania!
No i taki backdoor to wymarzony „wektor” ataku dla przestępców!
Mogli wykorzystac ta sama luke, ktora uzywali przestepcy…
Co do reszty to sie zgadzam – QNAP w ciagu roku notuje 3 powazna wpadke bezpieczenstwa…
a może przestępcy wykorzystali furtkę producenta ? ;)
pod koniec listopada źli ludzie znaleźli lukę w qnapach i wchodzili jak do siebie, nawet do urządzeń z aktualnym firmwarem. Tylko w tamtym czasie skończyło się na instalacji softu do kopania btc.
Niby to naprawili a grudniowej aktualizacji wiec był czas na połatanie tego …… a teraz inni źli ludzie stwierdzili że szybciej zarobią btc na okupie niż na kopaniu.
producent to chyba nie ogarnia tego co wyprodukował i co sprzedał, nie długo, zamiast zrobić porządny soft, to będzie radził wyłączyć z prądu qnapy. Reklamują te swoje *** jako narzędzie do zrobienia własnej chmury, hostowania www a teraz panicznie „Take Immediate Actions to Stop Your NAS from Exposing to the Internet” :D
Wystarczy jedna aktualizacja, która źle poszła, albo zmieniła domyślne uatawienia i ludzie zaczynają je wyłączać. Nie włączą ich ponownie nigdy. W takiej sytuacji producent nie ma więc żadnego pola manewru. Za miesiąc serwisy nie wytzymałyby oblężenia klientów.
Jak najbardziej pasuje mi własna chmura i nie dziwię się, że łatwiej wystawić do internetu trochę za dużo, niż bawić się w długotrwałe testowanie „co jeszcze nie działa”.
Jeżeli administrator jest ogarnięty i potrafi skonfigurować sieć dla takiego qnapa, to aktualizacje też zablokuje. daję sobie sprawę, że lepiej by wyszedł na zwykłej macierzy dyskowej i yanim serwerku do wystawienia usług do internetu. Ale czasem zarząd kupi, a potem ttzeba kombinować.
w sumie to nie podlega pod jakis paragraf w naszym kraju ? Skoro nie mieli autoryzacji na takie dzialanie, to poniekad wlamali sie na urzadzenia przez siebie wyprodukowane i nadpisali dane, ktore sie na nim znajdowaly. Moze komus akurat zalezalo zeby miec soft z dziura i zepsuli mu caly plan. Tak sobie pomyslale, ze analogicznie np producent samochodow stweirdzi, ze deska rozdzielcza jest slaba bo costam i np potajemnie w nocy pootwiera wszystkie auta swojej produkcji i powymienia deske rozdzielcza.
Nie koniecznie musieli się włamać. Wystarczy że w którejś aktualizacji (tłumacząc na polski) wpisali adres serwera z którego ma się pobierać Soft i skrypt to aktualizacji który ma się wykonać pomimo wyłączonej opcji automatycznej aktualizacji.
Jeden adres/katalog z Softem który wymaga opcji a drugi bez.
Jak jesteś pod adresem wewnętrznym to nie wejdą na urządzenie, to urządzenie pobrało Soft a oni tylko wcześniej wygrali config.
Między innymi z powodu nieustających dziur w bezpieczeństwie kończę przygodę z QNAP i przechodzę na TrueNAS. 2 z 3 urządzeń już sprzedałem…
Zobacz jeszcze Xigmanas. Mi bardziej przypadł do gustu interfejs i obsługa zfs.
A jak wygląda Synology w tym zestawieniu?
I tak sobie tylko ktoś wystawił iscsii na vm a maszynka w nocy się zwinęła a był jej update i pasztet gotowy…
Oczywiście winnych niet.
Mi na 4 szt nic się nie zaktualizowało. Jeśli dostęp do zarządzania był wyłączony to reszta powinna działać bez problemu (np. VPN). Jak się miało dostęp na admina, porty na routerze i upnp to weszli jak do siebie.
No tak. A co teraz z tysiącami użytkowników z zaszyfrowanymi danymi przez deadbolta zostaną sami sobie? Na co mi teraz aktualizacja. Poproszę o deszyfryzacje i o informację z centrum pomocy qnapa bo od dwóch dni cisza.
Ja mam na qunapie tylko parę filmów i muzykę. Kręci dyskiem 24/7 chociaż ostatnio coś na nim oglądałem rok temu. Mam się bać?
A ja na Qnap’ie zainstalowałem windowsa. Wszystko działa:p Żadnej aktualizacji mi qnap nie zrobił.
Trzeba poszukać alternatywy. Biorę ubuntu-server. Nextcloud.
Jestem wieloletnim użytkownikiem qnap-ów (posiadamy na firmie kilka urządzeń ) niestety od pewnego czasu zmuszony zostałem do odcięcia qnap-ów od internetu (vlan bez dostępu do neta)
Wyniku czego nie mogę korzystać z usług wykonywania kopi google suite oraz paru innych wymagających połączenia internetowego
Trzeba zawsze mieć z tyłu głowy nas to nie backup offline.
Abstrahując od dziwnego zachowania producenta które daje zainteresowanym zachętę to poszukiwania drzwiczek, to mam pytanie do komentujących czy jest jakakolwiek uzasadniony powód aby wyłączać automatyczne aktualizacja albo nie aktualizować sprzętu firmy qnap? Bo z tego co zrozumiałem to są osoby które sobie nie życzą aktualizacji, ok rozumiem, ale pytanie dlaczego sobie nie życzą ? Bardzo mnie to interesuje i dzięki z góry za odpowiedź.
Dodatkowo chciałem zauważyć, że aktualizacja, która łatała lukę, z tego co piszą w artykule, wyszła 23 grudnia 2021, czyli ponad miesiąc przed atakiem deadbolt.
Fascynujące są teraz żale, że komuś zaszyfrowało dysk i że jest wina wszystkich tylko nie admina urządzenia, który dopuścił do działania online urządzenia z nieaktualnym systemem.
Nie zycza sobie _automatycznej_ aktualizacji.
Np. z powodu jak w tym komentarzu:
„I tak sobie tylko ktoś wystawił iscsii na vm a maszynka w nocy się zwinęła a był jej update i pasztet gotowy…
Oczywiście winnych niet.”
Choćby taki, że w wersji 5 qnap wyłączył obsługę drukarek usb. Także miałem drukarkę podłączona po usb i udostępnioną w sieci, teraz już nie mam. Wiem, że tak się miało stać w tej wersji dlatego nie aktualizowałem zanim nie rozwiąże problemu. Teraz już qnap za mnie rozwiązał, rano już nie mogłem drukować.
zarządzam kilkoma qnapami. też bez automatycznej aktualizacji musiałem ręcznie aktualizować dzisiaj.