QSnatch

Skadevare tar full kontroll over tusenvis av NAS-enheter

Sikkerhetsløsning skal være utgitt.

NAS-enheter fra QNAP er rammet i det nye skadevare-utbruddet.
NAS-enheter fra QNAP er rammet i det nye skadevare-utbruddet. (Foto: QNAP)

Sikkerhetsløsning skal være utgitt.

En ny skadevare som er spesifikt designet for angripe NAS-enheter (network attached storage), er nå i ferd med å spre seg i høyt tempo. Det melder blant andre nettstedet Bleeping Computer.

Skadevaren har fått navnet QSnatch og rammer NAS-enheter fra den taiwanske produsenten QNAP, hvor den er skal være i stand til å utføre en rekke ulike ondsinnede aktiviteter.

Har rammet Tyskland

Det tyske byrået CERTBund (Computer Emergency Response Team) la nylig ut en melding på Twitter hvor de hevder at skadevaren er funnet på minst 7000 NAS-enheter i Tyskland, og det finske byrået NCSC-FI (National Cyber Security Centre) beskriver programvaren nærmere på sine hjemmesider.

Ifølge NCSC-FI injiseres koden i fastvaren på enhetene og brukes deretter til å laste ned ytterligere ondsinnet kode fra C&C-serveren (command and control), som kjøres i operativsystemet med systemrettigheter.

Der brukes koden til blant annet å hente inn brukernavn og passord, som sendes videre til C&C-serveren, å modifisere skript og forhindre fastvare-oppdateringer, samt å hindre QNAP Malware Remover-applikasjonen – som brukes til å fjerne skadevare fra QNAP-enheter – i å kjøre.

Les også

I tillegg opplyser sikkerhetsforskerne at den ondsinnede koden har modulære egenskaper som gjør at den kan brukes til andre typer funksjonalitet ved å hente ny kode fra C&C-serveren.

Høy alvorlighetsgrad

Produsenten QNAP omtaler selv skadevaren i en sikkerhetsmelding og gir QSnatch-programvaren høy alvorlighetsgrad. Selskapet har sluppet en oppdatering for å uskadeliggjøre programvaren, men det er ikke bekreftet at oppdateringen fungerer.

Ifølge NCSC-FI er en full fabrikk-resett et annet alternativ for å få has på problemet. Men dette sletter alle data fra enheten.

Andre forebyggende tiltak som anbefales, er å endre alle passord for alle kontoer på NAS-enheten, fjerne eventuelle ukjente brukerkontoer eller applikasjoner, samt å sørge for at fastvaren er oppdatert. Det anbefales også å installere og kjøre siste versjon av QNAP Malware Remover

NCSC-FI anbefaler ellers at NAS-enheter ikke eksponeres for internett uten brannmurbeskyttelse mot eksterne angrep. Det er ennå uvisst hva som er kilden til skadevaren, og akkurat hvor stort omfanget er i øvrige land.

Som digi.no rapporterte i september er det blitt funnet flere alvorlige sårbarheter i populære nettverksprodukter den siste tiden, og NAS-enheter fra QNAP er blant disse.

Les også: Forskere har funnet flere sårbarheter i populære nettverksprodukter – kan gi hackere full kontroll »

Kommentarer (2)

Kommentarer (2)
Til toppen