News

Descrizione e potenziali impatti

In riferimento a quanto recentemente pubblicato da questo CSIRT – tramite l’alert AL02/220107/CSIRT-ITA – si evidenzia che ricercatori di sicurezza hanno rilevato numerose attività malevole finalizzate alla distribuzione del ransomware DeadBolt su dispositivi NAS QNAP esposti su Internet, tramite il probabile sfruttamento di una vulnerabilità di tipo zero-day.

Nel dettaglio DeadBolt, al temine della fase di cifratura del dispositivo, che prevede l’aggiunta dell’estensione “.deadbolt” ai file interessati, rilascia la propria nota di riscatto tramite una pagina di accesso al dispositivo opportunamente predisposta – in sostituzione di quella originale – nella quale viene intimato il pagamento di 0,03 bitcoin (circa 1.000 dollari) per ottenere la chiave di decifratura.

Azioni consigliate

Ove già non provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal produttore.

Si sottolinea inoltre che gli utenti possono bypassare la schermata contenente la nota di riscatto e ottenere l’accesso alla propria pagina di amministrazione utilizzando una delle seguenti URL:

• http://<NAS_IP>:8080/cgi-bin/index.cgi
• https://<NAS_IP>/cgi-bin/index.cgi

Infine, si raccomanda di valutare l’implementazione delle azioni di mitigazione fornite dal vendor e presenti nell’alert AL02/220107/CSIRT-ITA.

Riferimenti

https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-fight-against-ransomware-together

https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key/

https://securityaffairs.co/wordpress/127221/malware/deadbolt-ransomware-qnap-nas.html?utm_source=rss&utm_medium=rss&utm_campaign=deadbolt-ransomware-qnap-nas

https://csirt.gov.it/contenuti/configurazioni-di-sicurezza-per-nas-qnap-esposti-su-internet-al02-220107-csirt-ita

Informiamo la nostra clientela che dal 1 febbraio  2022 cambieranno le nostre condizioni generali di contratto pubblicate al seguente indirizzo https://www.helptec.it/condizioni-generali/

Le nuove condizioni generali di contratto non modificheranno le condizioni economiche e i servizi precedentemente concordati ma regoleranno i rapporti commerciali tra HELPTEC la clientela.

I clienti HELPTEC possono conferma la presa visione tramite il seguente modulo: https://forms.office.com/r/r06jv26pXg

Le nuove condizioni generali di contratto verranno tacitamente accettate nel proseguo dell’erogazione dei servizi e/o acquisto di prodotti da HELPTEC.

Ufficio Amministrativo
HELPTEC S.r.l.

Sintesi

Al fine di incrementare la sicurezza dei dispositivi NAS esposti su internet, il vendor QNAP ha rilasciato istruzioni di dettaglio per la configurazione degli apparati.

Sistemi impattati

QNAP invita tutti gli utenti QNAP NAS che espongono su internet il servizio di amministrazione del sistema ad implementare specifiche misure per garantire la sicurezza dei dispositivi di rete.

Azioni di mitigazione

Al fine di prevenire compromissioni a seguito di possibili attacchi, il vendor suggerisce di:

• verificare la configurazione del router in uso relativamente alle funzionalità Virtual server, NAT o port forwarding, disabilitando il port forwarding per il servizio di gestione del dispositivo NAS (per impostazione predefinita associato alle porte 8080 e 433);
• disabilitare tramite myQNAPcloud le funzionalità UPnP (UPnP Port forwarding) attive sul NAS QNAP.

Per verifiche e procedure dettagliate si consiglia di far riferimento alle indicazioni riportate nel bollettino di sicurezza del produttore, disponibile nella sezione Riferimenti.

Riferimenti

https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas

FONTE: CSIRT – Computer Security Incident Response Team – Italia

https://csirt.gov.it/contenuti/configurazioni-di-sicurezza-per-nas-qnap-esposti-su-internet-al02-220107-csirt-ita