Il noto produttore di NAS Qnap ha aggiornato una vulnerabilità zero-day in Photo Station che è tuttora sfruttata dai cyber criminali del gruppo DeadBolt per sferrare attacchi ransomware contro i sistemi. Dato che gli attacchi sono diffusi, l’azienda esorta i clienti a dare corso all’update con urgenza.

L’aggiornamento è stato diffuso a tempo record: solo 12 ore dopo che DeadBolt ha iniziato a sfruttare la vulnerabilità zero-day negli attacchi, che comportano la crittografia dei NAS Qnap direttamente connessi a Internet. Ora non resta che alzare le difese, installando gli aggiornamenti di Photo Station all’ultima versione disponibile, che cambia a seconda della release di sistema operativo presente nel NAS.

Chi ha un dispositivo con QTS 5.0.1 deve aggiornare Photo Station alla release 6.1.2 e successive, per QTS 5.0.0/4.5.x la versione di Photo Station da installare è la 6.0.22 o successiva. Con QTS 4.3.6 occorre Photo Station 5.7.18 e successive, con QTS 4.3.3 è necessario passare a Photo Station release 5.4.15 e successive. Infine, chi ha in uso QTS 4.2.6 dovrà eseguire l’update a Photo Station 5.2.14 e successive.

Da notare che gli update sono risolutivi: una volta installata, la versione riveduta e corretta impedirà al ransomware DeadBolt di sfruttare la vulnerabilità e di crittografare i dispositivi. Qualora non fosse possibile dare seguito all’aggiornamento, il produttore suggerisce agli utenti di sostituire Photo Station con QuMagie, uno strumento di gestione dell'archiviazione delle foto più sicuro per i suoi NAS. Una possibile misura alternativa di mitigazione è scollegare il NAS da Intenet, oppure utilizzare la funzione myQNAPcloud Link fornita da QNAP o di abilitare il servizio VPN.

Le istruzioni dettagliate sull'installazione degli aggiornamenti e sulla configurazione di myQNAPcloud sono pubblicate nell'advisory sulla sicurezza. Aggiornamenti a parte, Qnap ricorda alla sua utenza di non esporre mai pubblicamente i NAS a Internet, ma di posizionarli dietro a un firewall, e di utilizzare password complesse su tutti gli account utente. È inoltre consigliato di scattare snapshot a cadenza regolare per prevenire la perdita di dati in caso di attacchi.

Il ransomware DeadBolt

DeadBolt è una vecchia conoscenza: il gruppo bersaglia di attacchi i dispositivi NAS dall’inizio di quest’anno sfruttando presunte vulnerabilità. I dispositivi Qnap non sono le uniche vittime: sono coinvolti con certezza anche i prodotti di Asustor. Gli ultimi attacchi di questo gruppo risalgono a maggio e giugno 2022.

Nella maggior parte degli attacchi, DeadBolt ha richiesto il pagamento di un riscatto di poco superiore a mille dollari, ma non è da escludere che le cifre possano lievitare, dato che un altro gruppo ransomware noto come Checkmate a luglio ha chiesto 15.000 dollari di riscatto per consegnare la chiave di decodifica alle vittime dei NAS Qnap attaccati.

In chiusura è bene ricordare che i NAS sono un bersaglio molto appetibile per i criminali informatici, dato che nella maggior parte dei casi vengono usati per custodire informazioni sensibili.