Tchajwanská firma QNAP nuceně aktualizovala zařízení NAS svých zákazníků. Nejnovější aktualizace obsahuje záplatu bezpečnostní díry, kvůli níž více než 3600 síťových úložišť této značky napadl ransomware DeadBolt.
Informace o útoku, namířeném na NASy QNAP obsahující zero-day zranitelnost, se začaly objevovat počátkem tohoto týdne. Kromě zašifrování souborů ransomware zaměnil přihlašovací stránku webové administrace za vlastní a požadoval výkupné ve výši 0,03 bitcoinu (cca 24 tisíc korun).
Nucená aktualizace
Útočníci se zaměřovali na zařízení připojená k internetu. Jako dočasné řešení tedy stačilo odpojit postižené NASy od internetu nebo je umístit za firewall. Kromě požadavku na výkupné za dešifrování dat nabízeli útočníci výrobci za 5 bitcoinů (cca 4 miliony korun) poskytnutí informací o zneužívané chybě a za 50 bitcoinů (cca 40 milionů korun) předání hlavního dešifrovacího klíče.
Je velmi nepravděpodobné, že by QNAP požadavku na zaplacení podlehl. Řada uživatelů na fóru podpory však uvedla, že ransomwarové skupině zaplatili, obdrželi dešifrovací klíč a úspěšně obnovili všechny své soubory.
Ve středu začal výrobce varovat zákazníky, aby zabezpečili svá zařízení vystavená do internetu proti ransomwaru DeadBolt aktualizací na nejnovější verzi softwaru QTS, zakázáním UPnP a vypnutím přesměrování portů.
Později přistoupil k drastičtějšímu opatření a vzdáleně vynutil na všech NASech svých zákazníků aktualizaci firmwaru na verzi 5.0.0.1891. Zajímavostí je, že podle majitelů zařízení QNAP a správců IT výrobce tuto aktualizaci firmwaru spustil i na zařízeních s deaktivovanými automatickými aktualizacemi.
Ne vždy se to povedlo
Update však neproběhl bez problémů – někteří uživatelé hlásili, že jim přestalo fungovat připojení iSCSI. Další, kteří si zakoupili dešifrovací klíč a byli v procesu dešifrování, zjistili, že aktualizace firmwaru odstranila také spustitelný soubor ransomwaru a obrazovku s výkupným, jež sloužila k zahájení dešifrování. To jim znemožnilo pokračovat v procesu obnovy dat.
„Obvykle se mě NAS ptá, jestli chci aktualizovat, ale teď se mě to neptalo. Jen jsem nečinně stál, zatímco probíhalo dešifrování, a pak jsem uslyšel pípnutí. Když jsem se podíval do nabídky, ptalo se mě to, jestli chci provést restart, aby se aktualizace dokončila,“ napsal jeden z rozrušených majitelů, kterému se i přes stisknutí tlačítka Ne diskové pole následně restartovalo.
Aktualizace obsahovala řadu bezpečnostních oprav, ale téměř všechny se týkaly Samby, což s tímto útokem pravděpodobně nesouvisí. Samba poskytuje souborové a tiskové služby pro klienty se systémem Microsoft Windows a může se integrovat s doménou Microsoft Windows Server.
Na četné stížnosti ohledně vynucování aktualizace firmwaru odpověděl zástupce podpory QNAP, že jde o ochranu uživatelů před probíhajícími útoky ransomwaru DeadBolt. „Vím, že existují argumenty pro i proti. Je to těžké rozhodnutí. Ale právě kvůli DeadBoltu a naší snaze tento útok co nejdříve zastavit jsme to udělali.“ řekl.