Stati Uniti e Regno Unito avvisano di un malware per dispositivi NAS QNAP

Stati Uniti e Regno Unito avvisano di un malware per dispositivi NAS QNAP

In una segnalazione congiunta questa settimana, gli Stati Uniti e il Regno Unito hanno avvertito che un malware ha infettato oltre 62.000 dispositivi di archiviazione collegati alla rete QNAP (NAS).

Soprannominato QSnatch, il malware è stato osservato per la prima volta l'anno scorso e QNAP a novembre ha pubblicato un avviso di sicurezza per avvisare gli utenti dei rischi ad esso associati e fornire consigli su come possono rimanere protetti.

All'epoca, la società ha rivelato che QSnatch era progettato per raccogliere informazioni riservate dai dispositivi compromessi, comprese le credenziali di accesso e la configurazione del sistema.

"A causa di questi problemi di violazione dei dati, i dispositivi QNAP che erano stati infettati potrebbero essere ancora vulnerabili alla reinfezione dopo aver rimosso il malware", ha affermato la società.

Nella loro allerta congiunta, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e il National Cyber ​​Security Centre (NCSC) del Regno Unito avvertono che tutti i dispositivi NAS di QNAP potrebbero essere vulnerabili a QSnatch.

"Il malware, documentato in report open source, ha infettato migliaia di dispositivi in ​​tutto il mondo con un numero particolarmente elevato di infezioni in Nord America ed Europa. Inoltre, una volta che un dispositivo è stato infettato, gli aggressori possono impedire agli amministratori di eseguire correttamente gli aggiornamenti del firmware ", si legge nell'avviso.

Le due agenzie hanno dichiarato di aver identificato due campagne QSnatch, una probabilmente in esecuzione tra il 2014 e il 2017 e un'altra che è iniziata alla fine del 2018 ed è rimasta attiva almeno fino alla fine del 2019, e ha anche rivelato che c'erano circa 62.000 dispositivi infetti in tutto il mondo a partire da giugno il 2020.

Sebbene l'infrastruttura utilizzata in queste campagne non sia più attiva, "la minaccia rimane per i dispositivi senza patch", affermano CISA e NCSC.

Il malware, notano, installa una pagina di amministrazione di un dispositivo falso per rubare le credenziali, contiene una backdoor SSH per abilitare l'esecuzione di codice, presenta uno scrapper di credenziali e funzionalità webshell per abilitare l'accesso remoto e può esfiltrare i dati sul server degli aggressori su HTTPS.

"Il malware sembra acquisire persistenza impedendo l'installazione di aggiornamenti sul dispositivo QNAP infetto. L'attaccante modifica il file dell'host di sistema, reindirizzando i nomi di dominio principali utilizzati dal NAS a versioni locali non aggiornate in modo che gli aggiornamenti non possano mai essere installati”, si legge nell'avviso.

Per rimanere protetti da questa minaccia, si consiglia agli utenti di installare le ultime patch di sicurezza disponibili. A coloro che eseguono versioni vulnerabili del firmware viene consigliato di eseguire un ripristino di fabbrica completo prima di aggiornare il firmware, per garantire che la minaccia venga rimossa, viene visualizzato l'avviso.

CISA e NCSC raccomandano alle organizzazioni di adottare tutte le misure necessarie descritte da QNAP nella sua consulenza di novembre 2019.

Posted on