TLP: White
NIVEL DE RIESGO – [Alto]
Acción requerida: Aplicar las últimas actualizaciones de seguridad a los dispositivos afectados.
Vector de ataque: Remoto
Impacto: El compromiso exitoso de esta campaña, podría ocasionar que el usuario malintencionado robe credenciales e instale programas maliciosos en el dispositivo afectado.

Descripción

La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido han emitido una alerta conjunta sobre el riesgo de infección con el programa malicioso “QSnatch” que enfrentan los dispositivos de almacenamiento conectado en red (NAS) de la marca QNAP.

De acuerdo con la alerta todos los dispositivos NAS de QNAP son potencialmente vulnerables al programa malicioso si no se actualizan con las últimas correcciones de seguridad publicadas por el fabricante. QSnatch ha infectado miles de dispositivos en todo el mundo con un número particularmente alto de infecciones en América del Norte y Europa. Además, una vez que un dispositivo ha sido infectado, los atacantes pueden evitar que los administradores ejecuten con éxito las actualizaciones de firmware.

QSnatch ha tenido dos campañas principales, la primera comenzó a principios de 2014 y continuó hasta mediados de 2017, mientras que la segunda comenzó en 2018 y estuvo activa hasta finales de 2019. Aunque, la infraestructura utilizada en ambas campañas actualmente no se encuentra activa la amenaza sigue presente en los dispositivos que aún no son actualizados y podrían verse comprometidos en una tercera campaña, la cual podría ocurrir en cualquier momento. Las agencias encontraron que actualmente existen 62 mil dispositivos infectados con este programa malicioso de los cuales el 46% se encuentran en Europa Occidental y 15% en Norteamérica.

El vector de ataque utilizado no ha sido identificado, pero QSnatch parece modificar el firmware del dispositivo durante la etapa de infección, y el código malicioso se ejecuta posteriormente dentro del dispositivo. Luego, el atacante usa un algoritmo de generación de dominio (DGA) para establecer un canal de comunicación con el servidor de comando y control (C&C) que genera periódicamente múltiples nombres de dominio para usar en las comunicaciones, usando la siguiente solicitud HTTP GET:

HTTP GET https://[dominio-generado]/qnap_firmware[.]xml?=t[timestamp]

QSnatch tiene múltiples funcionalidades, entre las que destacan:

  • Un módulo que instala una versión falsa de la página de inicio de sesión administrativa del dispositivo, el cual registra las autenticaciones exitosas y las pasa a la página de inicio de sesión legítima.
  • Un recolector de credenciales.
  • Una puerta trasera SSH Esta función permite al usuario malintencionado ejecutar código arbitrario en un dispositivo.
  • Un módulo de exfiltración que cuando se ejecuta, hace que QSnatch robe una lista predeterminada de archivos, que incluye configuraciones del sistema y archivos de registro. Estos se cifran con la clave pública del atacante y se envían a su infraestructura de comando y control a través de una conexión HTTPS.
  • Una funcionalidad de “shell web” para obtener acceso remoto.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas

  • Todos los dispositivos NAS de la marca QNAP.

Indicadores de compromiso IoCs

Los siguientes hashes se relacionan con muestras de QSnatch disponibles en repositorios de malware de código abierto. Un punto notable es que algunas muestras modifican intencionalmente el dispositivo QNAP infectado para poder aprovechar la vulnerabilidad de ejecución remota de código en Samba identificada como CVE-2017-7494.

  • SHA-256
    • 09ab3031796bea1b8b79fcfd2b86dac8f38b1f95f0fce6bd2590361f6dcd6764
    • 3c38e7bb004b000bd90ad94446437096f46140292a138bfc9f7e44dc136bac8d
    • 8fd16e639f99cdaa7a2b730fc9af34a203c41fb353eaa250a536a09caf78253b
    • 473c5df2617cee5a1f73880c2d66ad9668eeb2e6c0c86a2e9e33757976391d1a
    • 55b5671876f463f2f75db423b188a1d478a466c5e68e6f9d4f340396f6558b9f
    • 9526ccdeb9bf7cfd9b34d290bdb49ab6a6acefc17bff0e85d9ebb46cca8b9dc2
    • 4b514278a3ad03f5efb9488f41585458c7d42d0028e48f6e45c944047f3a15e9
    • fa3c2f8e3309ee67e7684abc6602eea0d1d18d5d799a266209ce594947269346
    • 18a4f2e7847a2c4e3c9a949cc610044bde319184ef1f4d23a8053e5087ab641b
    • 9791c5f567838f1705bd46e880e38e21e9f3400c353c2bf55a9fa9f130f3f077
    • a569332b52d484f40b910f2f0763b13c085c7d93dcdc7fea0aeb3a3e3366ba5d
    • a9364f3faffa71acb51b7035738cbd5e7438721b9d2be120e46b5fd3b23c6c18
    • 62426146b8fcaeaf6abb24d42543c6374b5f51e06c32206ccb9042350b832ea8
    • 5cb5dce0a1e03fc4d3ffc831e4a356bce80e928423b374fc80ee997e7c62d3f8
    • 5130282cdb4e371b5b9257e6c992fb7c11243b2511a6d4185eafc0faa0e0a3a6
    • 5130282cdb4e371b5b9257e6c992fb7c11243b2511a6d4185eafc0faa0e0a3a6
    • 15892206207fdef1a60af17684ea18bcaa5434a1c7bdca55f460bb69abec0bdc
    • 3cb052a7da6cda9609c32b5bafa11b76c2bb0f74b61277fecf464d3c0baeac0e
    • 13f3ea4783a6c8d5ec0b0d342dcdd0de668694b9c1b533ce640ae4571fdbf63c
    • 18a4f2e7847a2c4e3c9a949cc610044bde319184ef1f4d23a8053e5087ab641b
    • 3615f0019e9a64a78ccb57faa99380db0b36146ec62df768361bca2d9a5c27f2
    • 845759bb54b992a6abcbca4af9662e94794b8d7c87063387b05034ce779f7d52
    • 6e0f793025537edf285c5749b3fcd83a689db0f1c697abe70561399938380f89

Medidas de mitigación

Una vez que un dispositivo ha sido infectado, se sabe que los atacantes hacen que sea imposible para los administradores ejecutar con éxito las actualizaciones de firmware necesarias. Esto hace que sea extremadamente importante para las organizaciones asegurarse de que sus dispositivos no hayan sido comprometidos previamente. Las organizaciones que aún ejecutan una versión vulnerable deben ejecutar un restablecimiento completo de fábrica en el dispositivo antes de completar la actualización del firmware para garantizar que el dispositivo no quede vulnerable.

Las recomendaciones generales son:

  • Actualizar QTS a la última versión disponible.
  • Instalar y actualizar Malware Remover a la última versión.
  • Instalar y actualizar Security Counselor a la última versión.
  • Actualizar las aplicaciones QTS instaladas a las últimas versiones si están disponibles en el App Center.
  • Configurar los siguientes ajustes para mejorar la seguridad del sistema
    • Cambiar contraseña de ID de QNAP.
    • Utilizar emplear contraseñas seguras en todas las cuentas de usuario generadas.
    • Modificar las contraseñas predeterminadas.
    • Eliminar cuentas desconocidas o sospechosas.
    • Habilitar la protección de IP y acceso a la cuenta para evitar ataques de fuerza bruta.
    • Desactivar el servidor web, SQL o la aplicación phpMyAdmin si no se están utilizando.
    • Evitar usar números de puerto predeterminados, como 22, 443, 80, 8080 y 8081.
    • Deshabilitar las conexiones SSH y Telnet si no está utilizando estos servicios.
    • Deshabilitar la configuración del enrutador automático, los servicios de publicación y restringir el control de acceso en myQNAPcloud.

Referencias