Les pirates ciblent les périphériques NAS QNAP avec des logiciels malveillants de crypto-minage
Si vous avez un lecteur de stockage connecté au réseau QNAP, vous devez le corriger maintenant. Plus tôt en mars 2020, les chercheurs en sécurité du 360 Netlab de Qihoo ont identifié une vulnérabilité dans les périphériques NAS QNAP sous exploitation active.
Corrigez votre NAS QNAP
Les attaquants tentent de prendre le contrôle du matériel NAS QNAP pour installer un malware de minage de crypto-monnaie, qui exploite la crypto-monnaie au nom de l'attaquant.
L'équipe de recherche de 360 Netlab estime qu'il y a plus de 4 millions de périphériques NAS QNAP vulnérables en ligne avec plus de 950 000 adresses IP uniques, toutes mappées à l'aide du système de cartographie Quake de Qihoo.
La vulnérabilité concerne deux vulnérabilités d'exécution de commandes à distance, CVE-2020-2506 et CVE-2020-2507 , qui, lorsqu'elles sont exploitées, permettent à l'attaquant d'obtenir les privilèges root sur le NAS compromis. Une fois qu'un attaquant a un accès root, il peut faire presque ce qu'il veut sur la machine.
Bien que les vulnérabilités soient graves, l'équipe de recherche n'a pas rendu publique sa preuve de concept d'exploitation ni publié de détails techniques relatifs aux vulnérabilités, ce qui a donné aux utilisateurs de QNAP concernés le temps de patcher leur matériel.
Nous avons nommé le programme de minage UnityMiner, nous avons remarqué que l'attaquant a personnalisé le programme en masquant le processus de minage et les informations réelles d'utilisation des ressources de la mémoire du processeur.Ainsi, lorsque les utilisateurs de QNAP vérifient l'utilisation du système via l'interface de gestion WEB, ils ne peuvent pas voir le comportement anormal du système. .
Tout appareil NAS QNAP avec un micrologiciel installé avant août 2020 est actuellement vulnérable à l'exploit, couvrant environ 100 versions différentes du micrologiciel NAS de QNAP. Le billet de blog Qihoo 360 Netlab détaille plus en détail le malware de crypto-mining, y compris chaque version de firmware actuellement affectée.
Les utilisateurs de NAS QNAP doivent se diriger vers la page des correctifs QNAP , télécharger les derniers correctifs et les installer dès que possible. Bien que QNAP n'ait pas encore répondu directement aux révélations de Qihoo concernant la vulnérabilité, il s'agit du correctif le plus récent disponible pour le matériel.
Boîtiers NAS QNAP précédemment ciblés
Ce n'est pas la première fois que le matériel NAS de QNAP est ciblé.
En décembre 2020, QNAP a émis un avertissement concernant deux bogues de script intersite de haute gravité qui permettaient à un attaquant d'accéder à distance. Avant cela, en septembre 2020, les utilisateurs de QNAP ont été frappés par le ransomware AgeLocker, qui a infecté des milliers de périphériques NAS QNAP exposés publiquement.
Une autre variante de ransomware ciblait également spécifiquement les périphériques NAS QNAP, le gros cadeau étant le nom: QNAPCrypt. Cela dit, le ransomware QNAPCrypt ciblait également d'autres fournisseurs de NAS, tels que Synology, Seagate et Netgear.
Pour le moment, les utilisateurs de QNAP doivent se diriger vers la page de correctifs précédemment liée et suivre les instructions pour protéger les appareils en ligne.