Descripción
La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido han emitido una alerta conjunta sobre el riesgo de infección con el programa malicioso “QSnatch” que enfrentan los dispositivos de almacenamiento conectado en red (NAS) de la marca QNAP.
De acuerdo con la alerta todos los dispositivos NAS de QNAP son potencialmente vulnerables al programa malicioso si no se actualizan con las últimas correcciones de seguridad publicadas por el fabricante. QSnatch ha infectado miles de dispositivos en todo el mundo con un número particularmente alto de infecciones en América del Norte y Europa. Además, una vez que un dispositivo ha sido infectado, los atacantes pueden evitar que los administradores ejecuten con éxito las actualizaciones de firmware.
QSnatch ha tenido dos campañas principales, la primera comenzó a principios de 2014 y continuó hasta mediados de 2017, mientras que la segunda comenzó en 2018 y estuvo activa hasta finales de 2019. Aunque, la infraestructura utilizada en ambas campañas actualmente no se encuentra activa la amenaza sigue presente en los dispositivos que aún no son actualizados y podrían verse comprometidos en una tercera campaña, la cual podría ocurrir en cualquier momento. Las agencias encontraron que actualmente existen 62 mil dispositivos infectados con este programa malicioso de los cuales el 46% se encuentran en Europa Occidental y 15% en Norteamérica.
El vector de ataque utilizado no ha sido identificado, pero QSnatch parece modificar el firmware del dispositivo durante la etapa de infección, y el código malicioso se ejecuta posteriormente dentro del dispositivo. Luego, el atacante usa un algoritmo de generación de dominio (DGA) para establecer un canal de comunicación con el servidor de comando y control (C&C) que genera periódicamente múltiples nombres de dominio para usar en las comunicaciones, usando la siguiente solicitud HTTP GET:
HTTP GET https://[dominio-generado]/
QSnatch tiene múltiples funcionalidades, entre las que destacan:
- Un módulo que instala una versión falsa de la página de inicio de sesión administrativa del dispositivo, el cual registra las autenticaciones exitosas y las pasa a la página de inicio de sesión legítima.
- Un recolector de credenciales.
- Una puerta trasera SSH Esta función permite al usuario malintencionado ejecutar código arbitrario en un dispositivo.
- Un módulo de exfiltración que cuando se ejecuta, hace que QSnatch robe una lista predeterminada de archivos, que incluye configuraciones del sistema y archivos de registro. Estos se cifran con la clave pública del atacante y se envían a su infraestructura de comando y control a través de una conexión HTTPS.
- Una funcionalidad de “shell web” para obtener acceso remoto.
Nivel de riesgo
- Alto
Sistemas/tecnologías afectadas
- Todos los dispositivos NAS de la marca QNAP.
Indicadores de compromiso IoCs
Los siguientes hashes se relacionan con muestras de QSnatch disponibles en repositorios de malware de código abierto. Un punto notable es que algunas muestras modifican intencionalmente el dispositivo QNAP infectado para poder aprovechar la vulnerabilidad de ejecución remota de código en Samba identificada como CVE-2017-7494.
- SHA-256
- 09ab3031796bea1b8b79fcfd2b86da
c8f38b1f95f0fce6bd2590361f6dcd 6764 - 3c38e7bb004b000bd90ad944464370
96f46140292a138bfc9f7e44dc136b ac8d - 8fd16e639f99cdaa7a2b730fc9af34
a203c41fb353eaa250a536a09caf78 253b - 473c5df2617cee5a1f73880c2d66ad
9668eeb2e6c0c86a2e9e3375797639 1d1a - 55b5671876f463f2f75db423b188a1
d478a466c5e68e6f9d4f340396f655 8b9f - 9526ccdeb9bf7cfd9b34d290bdb49a
b6a6acefc17bff0e85d9ebb46cca8b 9dc2 - 4b514278a3ad03f5efb9488f415854
58c7d42d0028e48f6e45c944047f3a 15e9 - fa3c2f8e3309ee67e7684abc6602ee
a0d1d18d5d799a266209ce59494726 9346 - 18a4f2e7847a2c4e3c9a949cc61004
4bde319184ef1f4d23a8053e5087ab 641b - 9791c5f567838f1705bd46e880e38e
21e9f3400c353c2bf55a9fa9f130f3 f077 - a569332b52d484f40b910f2f0763b1
3c085c7d93dcdc7fea0aeb3a3e3366 ba5d - a9364f3faffa71acb51b7035738cbd
5e7438721b9d2be120e46b5fd3b23c 6c18 - 62426146b8fcaeaf6abb24d42543c6
374b5f51e06c32206ccb9042350b83 2ea8 - 5cb5dce0a1e03fc4d3ffc831e4a356
bce80e928423b374fc80ee997e7c62 d3f8 - 5130282cdb4e371b5b9257e6c992fb
7c11243b2511a6d4185eafc0faa0e0 a3a6 - 5130282cdb4e371b5b9257e6c992fb
7c11243b2511a6d4185eafc0faa0e0 a3a6 - 15892206207fdef1a60af17684ea18
bcaa5434a1c7bdca55f460bb69abec 0bdc - 3cb052a7da6cda9609c32b5bafa11b
76c2bb0f74b61277fecf464d3c0bae ac0e - 13f3ea4783a6c8d5ec0b0d342dcdd0
de668694b9c1b533ce640ae4571fdb f63c - 18a4f2e7847a2c4e3c9a949cc61004
4bde319184ef1f4d23a8053e5087ab 641b - 3615f0019e9a64a78ccb57faa99380
db0b36146ec62df768361bca2d9a5c 27f2 - 845759bb54b992a6abcbca4af9662e
94794b8d7c87063387b05034ce779f 7d52 - 6e0f793025537edf285c5749b3fcd8
3a689db0f1c697abe7056139993838 0f89
- 09ab3031796bea1b8b79fcfd2b86da
Medidas de mitigación
Una vez que un dispositivo ha sido infectado, se sabe que los atacantes hacen que sea imposible para los administradores ejecutar con éxito las actualizaciones de firmware necesarias. Esto hace que sea extremadamente importante para las organizaciones asegurarse de que sus dispositivos no hayan sido comprometidos previamente. Las organizaciones que aún ejecutan una versión vulnerable deben ejecutar un restablecimiento completo de fábrica en el dispositivo antes de completar la actualización del firmware para garantizar que el dispositivo no quede vulnerable.
Las recomendaciones generales son:
- Actualizar QTS a la última versión disponible.
- Instalar y actualizar Malware Remover a la última versión.
- Instalar y actualizar Security Counselor a la última versión.
- Actualizar las aplicaciones QTS instaladas a las últimas versiones si están disponibles en el App Center.
- Configurar los siguientes ajustes para mejorar la seguridad del sistema
- Cambiar contraseña de ID de QNAP.
- Utilizar emplear contraseñas seguras en todas las cuentas de usuario generadas.
- Modificar las contraseñas predeterminadas.
- Eliminar cuentas desconocidas o sospechosas.
- Habilitar la protección de IP y acceso a la cuenta para evitar ataques de fuerza bruta.
- Desactivar el servidor web, SQL o la aplicación phpMyAdmin si no se están utilizando.
- Evitar usar números de puerto predeterminados, como 22, 443, 80, 8080 y 8081.
- Deshabilitar las conexiones SSH y Telnet si no está utilizando estos servicios.
- Deshabilitar la configuración del enrutador automático, los servicios de publicación y restringir el control de acceso en myQNAPcloud.
Referencias
- https://us-cert.cisa.gov/ncas/
alerts/aa20-209a - https://www.
kyberturvallisuuskeskus.fi/en/ news/qsnatch-malware-designed- qnap-nas-devices - https://www.qnap.com/en/
security-advisory/nas-201911- 01 - https://www.bleepingcomputer.
com/news/security/uk-and-us- warn-qnap-owners-to-upgrade- firmware-to-block-malware/ - https://www.ncsc.gov.uk/news/
legacy-risk-malware-targeting- qnap-nas-devices