Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for QNAP

QNAP

Ransomware MalasLocker menargetkan server Zimbra, menuntut sumbangan amal

by

Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.

Meskipun catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, ” Kami buruk… kami bisa lebih buruk.”

Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.

Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.

“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.

“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”

Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasi lebih ke ranah hacktivisme.

Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.

selengkapnya : bleepingcomputer.com

QNAP Zero-Days Meninggalkan 80K Perangkat Rentan terhadap Serangan Cyber

by

Sepasang vulnerability zero-day di beberapa sistem operasi (OS) Quality Network Appliance Provider (QNAP) untuk peralatan network-attached storage (NAS) memengaruhi sekitar 80.000 perangkat di seluruh dunia. Mereka tetap tidak ditambal untuk dua dari empat OS yang terpengaruh.

QNAP menyediakan peralatan dan perangkat lunak untuk penyimpanan, jaringan, dan video pintar Internet of Things (IoT). Bug OS, yang ditemukan oleh para peneliti di Sternum, adalah pelanggaran akses memori, yang dapat menyebabkan kode tidak stabil dan dapat menyediakan jalur bagi penjahat dunia maya yang diautentikasi untuk mengeksekusi kode arbitrer.

Vulnerability, dilacak di bawah CVE-2022-27597 dan CVE-2022-27598, memengaruhi QTS, pahlawan QuTS, QuTScloud, dan QVP OS, menurut Sternum, dan telah diperbaiki di QTS versi 5.0.1.2346 build 20230322 (dan yang lebih baru) dan QuTS hero versi h5.0.1.2348 build 20230324 (dan yang lebih baru). QuTScloud dan QVP OS tetap belum ditambal, tetapi QNAP mengatakan bahwa itu “segera memperbaiki” kekurangannya.

Penasihat keamanan QNAP menambahkan, “Jika dieksploitasi, vulnerabilty memungkinkan pengguna terotentikasi jarak jauh untuk mendapatkan nilai rahasia.”

Sementara bug dinilai “keparahan rendah,” dan sejauh ini, para peneliti Sternum belum melihat mereka dieksploitasi di alam liar, mendapatkan tambalan dengan cepat penting – pengguna QNAP terus menjadi target favorit di antara penjahat dunia maya.

selengkapnya : darkreading.com

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

QNAP Mendesak Pelanggan untuk Update

by

Eksploitasi baru telah ditemukan yang memengaruhi pelanggan QNAP yang menjalankan versi terbaru dari sistem operasinya: QTS 5.0.1 dan QuTS hero h.5.0.1, tetapi jangan khawatir, terapkan tambalan ini dan Anda akan baik-baik saja.

Kerentanan tersebut dikatakan memungkinkan pelaku ancaman menyuntikkan kode berbahaya, dan telah dianugerahi skor sistem penilaian kerentanan umum (CVSS) sebesar 9,8 (dari 10), menjadikannya sangat penting.

Kami tidak yakin apa implikasinya jika serangan siber terjadi, namun QNAP mendesak pelanggannya untuk tetap mendapatkan informasi terbaru dan segera menambal.

Ini bukan pertama kalinya pelanggan QNAP didesak untuk mengambil tindakan guna mencegah serangan siber. Bahkan, perusahaan secara teratur diserang. Yang mengatakan, untuk sebagian besar, itu telah segera menanggapi eksploitasi dan mengeluarkan tambalan tepat waktu, memberikan ketenangan pikiran kepada penggunanya bahw itu berkomitmen untuk melindungi data mereka.

Selain itu, serangan NAS sayangnya sering terjadi, dan pengguna dari semua jenis perangkat didesak untuk melindungi data mereka sebaik mungkin. Ini dapat mencakup antara lain penggunaan kredensial dan autentikasi yang kuat, dan penggunaan VPN dan firewall.

sumber : techradar.com

Lebih dari 29.000 Perangkat QNAP Unpatched Terhadap Kelemahan Baru

by

Puluhan ribu perangkat penyimpanan terpasang jaringan (NAS) QNAP sedang menunggu untuk ditambal terhadap kelemahan keamanan kritis yang ditangani oleh perusahaan Taiwan pada hari Senin.

Pelaku ancaman jarak jauh dapat mengeksploitasi kerentanan injeksi SQL ini (CVE-2022-27596) untuk menyuntikkan kode berbahaya dalam serangan yang menargetkan perangkat QNAP yang terpapar Internet dan tidak terhubung.

Perusahaan merekomendasikan pelanggan dengan perangkat yang terpengaruh (menjalankan QTS 5.0.1 dan QuTS hero h5.0.1) untuk meningkatkan ke QTS 5.0.1.2234 build 20221201 atau lebih baru dan QuTS hero h5.0.1.2248 build 20221215 atau lebih baru untuk mengamankan mereka dari serangan.

Untuk memperbarui perangkat Anda, Anda harus masuk sebagai pengguna admin, buka “Panel Kontrol → Sistem → Pembaruan Firmware,” klik opsi “Periksa Pembaruan” di bawah bagian “Pembaruan Langsung” dan tunggu pengunduhan dan pemasangan untuk menyelesaikan.

Puluhan ribu perangkat yang belum ditambal terkena serangan
“Censys telah mengamati 67.415 host dengan indikasi menjalankan sistem berbasis QNAP; sayangnya, kami hanya dapat memperoleh nomor versi dari 30.520 host. Namun, jika sarannya benar, lebih dari 98% perangkat QNAP yang teridentifikasi akan rentan terhadap serangan ini ,” kata peneliti keamanan senior Mark Ellzey.

“Kami menemukan bahwa dari 30.520 host dengan versi, hanya 557 yang menjalankan QuTS Hero lebih besar dari atau sama dengan ‘h5.0.1.2248’ atau QTS lebih besar dari atau sama dengan ‘5.0.1.2234,’ artinya 29.968 host dapat terpengaruh oleh kerentanan ini.”

Anda juga harus menonaktifkan koneksi SSH dan Telnet, mengubah nomor port sistem, mengubah kata sandi perangkat, dan mengaktifkan perlindungan akses IP dan akun menggunakan prosedur langkah demi langkah yang terperinci ini.

selengkapnya : bleepingcomputer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Pembaruan force-install QNAP setelah ransomware DeadBolt mencapai 3.600 perangkat

by

QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.

Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.

Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.

Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.

Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.

QNAP memaksa-update firmware pada perangkat NAS

Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.

Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.

“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.

“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.

Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Sumber: Bleepingcomputer

Ransomware DeadBolt Menargetkan perangkat QNAP, Meminta 50 BTC untuk Kunci Utama

by

Grup ransomware DeadBolt baru mengenkripsi perangkat QNAP NAS di seluruh dunia menggunakan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.

Serangan dimulai hari ini, 25 Januari, dengan perangkat QNAP tiba-tiba menemukan file mereka dienkripsi dan nama file ditambahkan dengan ekstensi file .deadbolt.

Alih-alih membuat catatan tebusan di setiap folder pada perangkat, halaman login perangkat QNAP dibajak untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt,” seperti yang ditunjukkan pada gambar di bawah ini.

Layar ini memberi tahu korban bahwa mereka harus membayar 0,03 bitcoin (sekitar $ 1.100) ke alamat Bitcoin tertutup yang unik untuk setiap korban.

Setelah pembayaran dilakukan, aktor ancaman mengklaim bahwa mereka akan melakukan transaksi tindak lanjut ke alamat yang sama yang mencakup kunci dekripsi, yang dapat diambil menggunakan instruksi berikut.

Kunci dekripsi ini kemudian dapat dimasukkan ke dalam layar untuk mendekripsi file perangkat. Pada saat ini, tidak ada konfirmasi bahwa membayar uang tebusan akan mengakibatkan menerima kunci dekripsi atau bahwa pengguna akan dapat mendekripsi file.

QNAP telah mengatakan kepada BleepingComputer bahwa pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi URL.

BleepingComputer menyadari setidaknya lima belas korban serangan ransomware DeadBolt baru, tanpa wilayah tertentu yang menjadi sasaran.

Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya mempengaruhi perangkat yang dapat diakses ke Internet.

Karena aktor ancaman mengklaim serangan itu dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari Internet dan menempatkannya di belakang firewall.

QNAP lebih lanjut mengatakan kepada kami bahwa Tim Respons Insiden Keamanan Produk (PSIRT) mereka sedang menyelidiki vektor serangan sekarang dan bahwa pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.

Penyerang menuntut 50 bitcoin untuk kunci utama

Pada layar catatan tebusan utama, ada tautan berjudul “pesan penting untuk QNAP,” yang ketika diklik, akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP.

Di layar ini, geng ransomware DeadBolt menawarkan rincian lengkap dari dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $ 184.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

“Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8,” tulis para aktor ancaman dalam sebuah pesan kepada QNAP.

Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka semua file klien Anda. Selain itu, kami juga akan mengirimkan semua rincian tentang kerentanan zero-day untuk security@qnap.com.”

Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.

Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lainnya yang biasanya memberikan beberapa bentuk komunikasi, baik melalui situs web, email, atau platform perpesanan Tor khusus.

Sumber: Bleepingcomputer