QNAP Club Italia

Security Advisory per un aggiornamento QTS non autorizzato

Data di uscita: 12 maggio 2017
Ultimo aggiornamento: 12 maggio 2017
Bollettino ID: NAS-201705-12
Valutazione di gravità: Critica
Prodotti interessati : Da confermare
Sommario

I rapporti degli utenti e la ricerca interna hanno individuato un recente attacco che sfrutta probabilmente le vulnerabilità noti nelle versioni precedenti QTS. Il malware viene scaricato e eseguito, che a sua volta installa una build di QTS 4.2.5 sul sistema compromesso. Il malware può anche provocare l'accesso non autorizzato ai dati NAS.

A partire dalla pubblicazione, QNAP sta ancora investigando l'incidente. Tuttavia, le vulnerabilità precedentemente identificate sono già state affrontate nelle build successive QTS.
Soluzione

QNAP raccomanda di verificare se la versione QTS installata sul NAS è stata inaspettatamente modificata in 4.2.5. Se è così, eseguire le seguenti azioni:

Installare ed eseguire Malware Remover 2.1.2.
Scaricare manualmente e installare QTS 4.3.3 per il tuo NAS (o QTS 4.2.5 se il tuo NAS non supporta QTS 4.3.3).
Modificare tutte le password utente.

Installazione di Malware Remover 2.1.2

Accedere a QTS come amministratore.
Aprire il Centro App e quindi fare clic sull'icona Cerca.
Digitare "Rimozione malware" e premere INVIO.
L'applicazione Rimozione malware viene visualizzata nell'elenco dei risultati di ricerca.
Fare clic su Installa.
L'applicazione è installata.

Aggiornamento a Malware Remover 2.1.2

Accedere a QTS come amministratore.
Aprire il Centro App e quindi fare clic sull'icona Cerca.
Digitare "Rimozione malware" e premere INVIO .
L'applicazione Rimozione malware viene visualizzata nell'elenco dei risultati di ricerca.
Fare clic su Aggiorna .
Viene visualizzato un messaggio di conferma.
Fare clic su OK .
L'applicazione viene aggiornata.

Controllare i registri

Per verificare se Malware Remover ha rilevato e eliminato i malware, accedere a Pannello di controllo > Sistema > Registri di sistema > Registri eventi di sistema .

Scaricare manualmente QTS

Vai a https://download.qnap.com .
Selezionare il numero di baie e il numero di modello del NAS.
In Download, fai clic sulla tua regione.
Il pacchetto viene scaricato.

Installazione di QTS

Accedere a QTS come amministratore.
Vai a Pannello di controllo > Sistema > Aggiornamento firmware.
In Aggiornamento firmware , fare clic su Sfoglia e quindi individuare il pacchetto di installazione.
Fare clic su Aggiorna sistema .
L'aggiornamento è installato.

Modifica della password

Accedi a QTS.
Nella barra delle applicazioni fare clic su [nome utente] > Opzioni.
In Modifica password , immettere le vecchie e nuove password e quindi fare clic su Applica .
La nuova password viene salvata.

Ci sono altre informazioni sulla frase in grassetto?

Se non sbaglio è capitato ad un utente qui sul forum, che aveva già la 4.3.3, e si è trovato il NAS down-gradato a 4.2.5....

edit: sto leggendo anche l'altro topic.

per il momento che io sappia no, ma è gradita la smentita.

viewtopic.php?f=1&t=14755
e si che ci hai anche appena scritto :-)

merluzzo ha scritto: ↑15 mag 2017, 07:46

Steve54 ha scritto: ↑14 mag 2017, 21:47 Pensa che il mio TS-451+ si è auto aggiornato alla 4.2.5 nonostante avessi tolto la spunta dalla ricerca automatica degli aggiornamenti.
Dal rilevare la 4.3 si è auto up-gredato alla 4.2.5..... avrà a che fare con il cyber attacco di questi giorni?

allora meglio se leggi questo link https://www.qnap.com/en/support/con_show.php?cid=117 postato da drego85 due post piu' sopra

C'è un bollettino di sicurezza di ieri, dice di aggiornare Photo Station: https://www.qnap.com/en-us/support/con_show.php?cid=41

Riguardo l'attacco Ransomware di Wannacry, o simili, se io attivo la crittografia delle cartelle o del volume, ho una possibilità che il virus non riesca a rovinare i file nel nas, oppure è come se non avessi fatto niente di che?

Se la cartella/volume sono chiusi, allora il "coso" malevolo nemmeno la/lo vede.
Ma se sono aperte, non serve a niente....

Ecco bene, infatti ho seguito le istruzioni, installato il malware remover e il mio NAS è risultato infetto.
Ora ho aggiornato il firmware alla 4.3.3 (con il controllo automatico però) e sono in attesa del riavvio.... ma che palle. Oggi ho usato il NAS e i PC da cui prelevano i dati ma non ho notato problemi.

FFFAB ha scritto: ↑15 mag 2017, 21:19 Se la cartella/volume sono chiusi, allora il "coso" malevolo nemmeno la/lo vede.
Ma se sono aperte, non serve a niente....

scusa ma non ti ho mica capito

La crittografia prevede la possibilità di usare il volume (o la singola cartella se il nas ha questa caratteristica e il tuo 251 ce l'ha) solo dopo aver digitato la password (più corretto chiamarla chiave) per "sbloccare" la criptazione stessa: la chiave attiva la crittografia e tutte le operazioni di lettura/scrittura generano su disco un file non in chiaro.
Se il volume o la cartella sono sbloccati (cioè hai digitato la chiave e quindi puoi vedere i files) allora la criptazione in sé è come se non ci fosse: tutto è trasparente per l'utente che vede la cartella e/o il volume come se non fossero criptati e, anzi, senza nemmeno sapere se i files siano criptati o no.
In questa situazione il virus può lavorare: ovviamente qui entrano in gioco i privilegi sui files, ma questo è un altro discorso.

Ma se il volume o la cartella sono bloccati (nessuno ha inserito al chiave oppure sono stati chiusi nuovamente dopo essere stati aperti) allora il virus nemmeno le vede le cartelle o i volumi e non può agire.
Se non l'hai mai fatto, fai una veloce prova creando una cartella criptata di prova e guarda la differenza fra inserire o meno la chiave: questa guida è abbastanza chiara
https://www.qnap.com/it-it/how-to/faq/a ... -condivisa
http://docs.qnap.com/nas/4.1/Home/it/in ... system.htm

E per tagliare la testa al toro, non conviene MAI memorizzare la chiave sullo stesso supporto criptato: è come scrivere il pin del bancomat sul bancomat...

Ma qual è il vettore primario usato dal malware? Nell'articolo si parla in generale di vulnerabilità (tra l'altro a titolo di ipotesi, e non si specifica quando sarebbero state corrette). Si tratta di vulnerabilità relative a servizi eventualmente esposti su IP pubblico (http, https, QTS, etc.)? Oppure è necessario un terzo attore, come un PC in LAN a sua volta compromesso che poi inietta il malware nel NAS? Oppure arriva da CloudLink? E si propaga tra NAS sulla stessa LAN?

Ciao,
D

http://www.poliziadistato.it/articolo/3 ... 518737032/
qui c'e' una descrizione comprensibile

merluzzo ha scritto: ↑16 mag 2017, 18:52 http://www.poliziadistato.it/articolo/3 ... 518737032/
qui c'e' una descrizione comprensibile

Ciao merluzzo, sono stato poco chiaro, in realtà non mi riferivo al WannaCry, ma al security advisory di QNAP (NAS-201705-12), relativo all'aggiornamento non autorizzato del firmware, per il quale mi sembra che non si conosca ancora il meccanismo di infezione.

Grazie cmq.

Ciao,
D

Ciao deuterio, al momento non hanno aggiornato l'avviso quindi mi sa che ci stanno ancora lavorando.
Stando cosi' le cose l'unica prevenzione possibile e', imho, disabilitare per quanto possibile tutti i servizi verso l'esterno e limitare al minimo indispensabile l'uso dell'utente admin.