Jak sprawdzić czy mój Windows jest zainfekowany? Podstawy analizy powłamaniowej. Nie przegap bezpłatnego szkolenia od sekuraka.

QNAP w panice zdalnie wymusił automatyczną instalację nowego firmware – aby ochronić klientów przed ransomware Deadbolt

28 stycznia 2022, 09:07 | W biegu | komentarzy 30
Tagi:

O temacie donosi BleepingComputer:

Later that night, QNAP took more drastic action and force-updated the firmware for all customers’ NAS devices to version 5.0.0.1891, the latest universal firmware released on December 23rd, 2021.

Wg relacji użytkowników firmware jest instalowany, nawet gdy opcja automatycznych aktualizacji jest wyłączona.

Całość w odpowiedzi na ransomware Deadbolt, który opisywaliśmy niedawno:

Część użytkowników opisuje problemy, które wynikły z takich działań – niektórym przestało działać połączenie iSCSI, inni zakupili dekryptor, który został usunięty przez aktualizację:

Other users who had purchased the decryption key, and were in the process of decrypting, found that the firmware update also removed the ransomware executable and ransom screen used to initiate decryption. This prevented them from continuing the decryption process once the device finished updating.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz

    Z jednej strony dbanie o bezpieczeństwo się chwali, z drugiej strony „nie” znaczy „nie” i decyzję o aktualizacjach automatycznych powinno się uszanować.

    Odpowiedz
    • Bomba

      Z jednej storny dobrze, z jednej strony źle. Czyli tak średnio w sumie

      Odpowiedz
  2. Przemek

    To się własnie zastanawiałem, dlaczego w środku nocy o 01:15 mnie skurczybyk obudził (trzymam ten serwer w sypialni, prywatnie). W logach wyszło, że była aktualizacja i restart.

    Odpowiedz
  3. takisobieludek

    to bardzo interesująca informacja – ciekawe jakie jeszcze działania może zdalnie wykonać producent urządzenia bez wiedzy i zgody (a nawet przy zdecydowanym sprzeciwie) właściciela urządzenia

    ta informacja wprost stwierdza że wszystko co trzymacie na urządzeniach marki qnap (i pewnie na wielu innych również) może być np publicznie dostępne dla bliżej nieznanej liczby osób

    Odpowiedz
  4. Mac

    Z jednej strony bezpieczeństwo z drugiej nie pozwalają wyłączyć zbędnych usług. np. Multimedia Console.
    Nie wiem po co wystawiać panel admina do internetu.

    Odpowiedz
  5. Atom

    Miałem pytać co wybuchło po tej aktualizacji, ale widzę, że walnęło już bez zbędnego czekania.

    Odpowiedz
  6. Michał

    Dla mnie to wizerunkowy strzał w kolano, bo pokazuje to że QNAP jest w stanie wymusić update pomimo wyłączenia tego. Jestem ciekaw co jeszcze mogą zrobić zdalnie, bo jeśli mogą dużo więcej to będzie trzeba pomyśleć nad zmianą vendora.

    Odpowiedz
    • Jerry1333

      Na 3 urządzenia do których mam dostęp żadne nie zostało zaktualizowane automatycznie.
      Update dostały chyba tylko te urządzenia gdzie ktoś nie zmienił ustawień aktualizacji albo były wystawione na świat w jakiś sposób.

      Odpowiedz
  7. chamówa QNAPa

    Skoro dało się z zewnątrz wymusić aktualizację MIMO ZABRONIENIA tego, to zupełnie niszczy zaufanie do producenta takiego sprzętu i oprogramowania!

    No i taki backdoor to wymarzony „wektor” ataku dla przestępców!

    Odpowiedz
    • Batrek

      Mogli wykorzystac ta sama luke, ktora uzywali przestepcy…
      Co do reszty to sie zgadzam – QNAP w ciagu roku notuje 3 powazna wpadke bezpieczenstwa…

      Odpowiedz
      • hehe

        a może przestępcy wykorzystali furtkę producenta ? ;)

        Odpowiedz
  8. qnapsrunap

    pod koniec listopada źli ludzie znaleźli lukę w qnapach i wchodzili jak do siebie, nawet do urządzeń z aktualnym firmwarem. Tylko w tamtym czasie skończyło się na instalacji softu do kopania btc.
    Niby to naprawili a grudniowej aktualizacji wiec był czas na połatanie tego …… a teraz inni źli ludzie stwierdzili że szybciej zarobią btc na okupie niż na kopaniu.

    producent to chyba nie ogarnia tego co wyprodukował i co sprzedał, nie długo, zamiast zrobić porządny soft, to będzie radził wyłączyć z prądu qnapy. Reklamują te swoje *** jako narzędzie do zrobienia własnej chmury, hostowania www a teraz panicznie „Take Immediate Actions to Stop Your NAS from Exposing to the Internet” :D

    Odpowiedz
    • SeeM

      Wystarczy jedna aktualizacja, która źle poszła, albo zmieniła domyślne uatawienia i ludzie zaczynają je wyłączać. Nie włączą ich ponownie nigdy. W takiej sytuacji producent nie ma więc żadnego pola manewru. Za miesiąc serwisy nie wytzymałyby oblężenia klientów.
      Jak najbardziej pasuje mi własna chmura i nie dziwię się, że łatwiej wystawić do internetu trochę za dużo, niż bawić się w długotrwałe testowanie „co jeszcze nie działa”.
      Jeżeli administrator jest ogarnięty i potrafi skonfigurować sieć dla takiego qnapa, to aktualizacje też zablokuje. daję sobie sprawę, że lepiej by wyszedł na zwykłej macierzy dyskowej i yanim serwerku do wystawienia usług do internetu. Ale czasem zarząd kupi, a potem ttzeba kombinować.

      Odpowiedz
  9. tt

    w sumie to nie podlega pod jakis paragraf w naszym kraju ? Skoro nie mieli autoryzacji na takie dzialanie, to poniekad wlamali sie na urzadzenia przez siebie wyprodukowane i nadpisali dane, ktore sie na nim znajdowaly. Moze komus akurat zalezalo zeby miec soft z dziura i zepsuli mu caly plan. Tak sobie pomyslale, ze analogicznie np producent samochodow stweirdzi, ze deska rozdzielcza jest slaba bo costam i np potajemnie w nocy pootwiera wszystkie auta swojej produkcji i powymienia deske rozdzielcza.

    Odpowiedz
    • Karol

      Nie koniecznie musieli się włamać. Wystarczy że w którejś aktualizacji (tłumacząc na polski) wpisali adres serwera z którego ma się pobierać Soft i skrypt to aktualizacji który ma się wykonać pomimo wyłączonej opcji automatycznej aktualizacji.
      Jeden adres/katalog z Softem który wymaga opcji a drugi bez.
      Jak jesteś pod adresem wewnętrznym to nie wejdą na urządzenie, to urządzenie pobrało Soft a oni tylko wcześniej wygrali config.

      Odpowiedz
  10. JW

    Między innymi z powodu nieustających dziur w bezpieczeństwie kończę przygodę z QNAP i przechodzę na TrueNAS. 2 z 3 urządzeń już sprzedałem…

    Odpowiedz
    • User

      Zobacz jeszcze Xigmanas. Mi bardziej przypadł do gustu interfejs i obsługa zfs.

      Odpowiedz
    • asdsad

      A jak wygląda Synology w tym zestawieniu?

      Odpowiedz
  11. Janus

    I tak sobie tylko ktoś wystawił iscsii na vm a maszynka w nocy się zwinęła a był jej update i pasztet gotowy…
    Oczywiście winnych niet.

    Odpowiedz
  12. Michał

    Mi na 4 szt nic się nie zaktualizowało. Jeśli dostęp do zarządzania był wyłączony to reszta powinna działać bez problemu (np. VPN). Jak się miało dostęp na admina, porty na routerze i upnp to weszli jak do siebie.

    Odpowiedz
  13. Piotr

    No tak. A co teraz z tysiącami użytkowników z zaszyfrowanymi danymi przez deadbolta zostaną sami sobie? Na co mi teraz aktualizacja. Poproszę o deszyfryzacje i o informację z centrum pomocy qnapa bo od dwóch dni cisza.

    Odpowiedz
  14. wer

    Ja mam na qunapie tylko parę filmów i muzykę. Kręci dyskiem 24/7 chociaż ostatnio coś na nim oglądałem rok temu. Mam się bać?

    Odpowiedz
  15. Jp

    A ja na Qnap’ie zainstalowałem windowsa. Wszystko działa:p Żadnej aktualizacji mi qnap nie zrobił.

    Odpowiedz
  16. Trzeba poszukać alternatywy. Biorę ubuntu-server. Nextcloud.

    Odpowiedz
  17. Aleksander

    Jestem wieloletnim użytkownikiem qnap-ów (posiadamy na firmie kilka urządzeń ) niestety od pewnego czasu zmuszony zostałem do odcięcia qnap-ów od internetu (vlan bez dostępu do neta)
    Wyniku czego nie mogę korzystać z usług wykonywania kopi google suite oraz paru innych wymagających połączenia internetowego
    Trzeba zawsze mieć z tyłu głowy nas to nie backup offline.

    Odpowiedz
  18. Dzabol

    Abstrahując od dziwnego zachowania producenta które daje zainteresowanym zachętę to poszukiwania drzwiczek, to mam pytanie do komentujących czy jest jakakolwiek uzasadniony powód aby wyłączać automatyczne aktualizacja albo nie aktualizować sprzętu firmy qnap? Bo z tego co zrozumiałem to są osoby które sobie nie życzą aktualizacji, ok rozumiem, ale pytanie dlaczego sobie nie życzą ? Bardzo mnie to interesuje i dzięki z góry za odpowiedź.

    Odpowiedz
    • Dzabol

      Dodatkowo chciałem zauważyć, że aktualizacja, która łatała lukę, z tego co piszą w artykule, wyszła 23 grudnia 2021, czyli ponad miesiąc przed atakiem deadbolt.
      Fascynujące są teraz żale, że komuś zaszyfrowało dysk i że jest wina wszystkich tylko nie admina urządzenia, który dopuścił do działania online urządzenia z nieaktualnym systemem.

      Odpowiedz
    • Aktualizacja w zlym momencie

      Nie zycza sobie _automatycznej_ aktualizacji.
      Np. z powodu jak w tym komentarzu:

      „I tak sobie tylko ktoś wystawił iscsii na vm a maszynka w nocy się zwinęła a był jej update i pasztet gotowy…
      Oczywiście winnych niet.”

      Odpowiedz
    • liare

      Choćby taki, że w wersji 5 qnap wyłączył obsługę drukarek usb. Także miałem drukarkę podłączona po usb i udostępnioną w sieci, teraz już nie mam. Wiem, że tak się miało stać w tej wersji dlatego nie aktualizowałem zanim nie rozwiąże problemu. Teraz już qnap za mnie rozwiązał, rano już nie mogłem drukować.

      Odpowiedz
  19. leszek

    zarządzam kilkoma qnapami. też bez automatycznej aktualizacji musiałem ręcznie aktualizować dzisiaj.

    Odpowiedz

Odpowiedz