QNAP: Circa 7.000 NAS-Geräte in Deutschland von Malware QSnatch befallen
Nutzt man ein NAS, dann stolpert man zwangsläufig über die Namen Synology und QNAP. Letztgenannter Hersteller hat am 1. November ein Security Advisory veröffentlicht, weil wohl eine aktiv ausgenutzte Lücke Grund zur Sorge bereitet. Laut Berichten wird die Malware QSnatch gegen die NAS-Geräte eingesetzt. Das National Cyber Security Center Finland (NCSC-FI) hat Mitte Oktober über den Autoreporter-Dienst Berichte über infizierte Geräte erhalten, die versuchen, mit bestimmten Command and Control (C2)-Servern zu kommunizieren.
Nutzer von QNAP-Geräten sollten, sofern verfügbar, aktuelle Firmware für ihr NAS einspielen. Ansonsten sollte man vermeiden, die Ports 443 und 8080 zum Zugriff auf das NAS zu nutzen.
Und wenn das Kind in den Brunnen gefallen ist? QNAP arbeitet derzeit an einem neuen Update für den Malware Remover und wird das Update so schnell wie möglich veröffentlichen.
- Change all passwords for all accounts on the device
- Remove unknown user accounts from the device
- Make sure the device firmware is up-to-date and all of the applications are also updated
- Remove unknown or unused applications from the device
- Install QNAP MalwareRemover application via the App Center functionality
- Set an access control list for the device (Control panel -> Security -> Security level)
Die Malware stiehlt wohl Zugangsdaten und kann unter Umständen weitere Module nachladen, um später weiteren Schaden anzurichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab an, dass man auf Basis von Sinkhole-Daten davon ausgehe, dass bereits 7.000 Geräte in Deutschland infiziert seien.
Auf Basis von Sinkhole-Daten sind aktuell bereits ca. 7.000 NAS-Geräte in Deutschland betroffen.
Weitere Informationen von unseren Kollegen bei @CERTFI:https://t.co/DgrWKoRHS0— CERT-Bund (@certbund) October 31, 2019
wie kann man das überprüfen?
Vor ca. 3-4 Wochen hat Muhstik auf Qnaps gewütet. War leider auch einer der betroffenen. Das hat sich dadurch bemerkbar gemacht, dass alle fast alle üblichen Dateien verschlüsselt wurden (Bilddateien, Office, PDF etc.). Einfach so, über Nacht und ohne aktives Ausführen. Diese Dateien hatten alle die Endung „.muhstik“. Da war dann in allen Ordnern eine TXT-Datei mit Angaben wie man diese wieder entschlüsseln könnte, also gegen Geld.
Nach ca. 1 Woche habe ich eine Lösung in einem Forum gefunden, wie ich meine Daten wieder entschlüsseln konnte. Da hat dann einer der betroffenen die Hacker gehackt und sich die Passwörter geholt und eingestellt. Alles sehr abenteuerlich gewesen.
Habe danach auch die Ports geändert und Sicherungen angelegt. Das braucht kein Mensch. Da holt man sich so ein Teil, eben damit man nicht alles verliert – wenn eine Platte ausfällt, ist bei mir noch alles auf der anderen. Und dann so etwas. Da verliert man recht schnell den Glauben an das Gute und das Vertrauen in die „schöne“ neue digitale Welt.
Sicher, sowas ist schon äußerst ärgerlich, aber letztlich ist das eine permanente Gefahr, auch schon in früheren Zeiten kommen, und darüber sollte sich eigentlich jeder im Klaren sein. Sicher ist nur, dass nichts sicher ist…
Bitte niemals eine Portweiterleitung auf ein NAS machen! Das ist grob fahrlässig und für jeden Hacker wie eine offene Tür. Wenn ihr unbedingt über das Internet auf euer NAS zugreifen wollt dann nutzt VPN. QNAP und Synology bieten entsprechende Dienste auch an.
Hast Du eine Anleitung die für Laien verständlich ist? Hab da einige Freunde die da wirklich Tipps brauchen könnten.
Wie soll man denn ohne Portweiterleitung den VPN-Dienst auf dem NAS betreiben?
Gar nicht, das weiß der gute Mark bloß nicht, weil sein NAS selbstverständlich nur im Heimnetz erreichbar ist……….
Nur…..welchen Sinn macht es, wenn ich 4 Wochen Fortbildung habe, mein NAS aus dem Internet nicht erreichbar ist und die Festplatte im Laptop abgerauscht ist?
Auch über VPN muss mein Router ja wissen, das Anfragen auf bspw. Port 8000 auf das NAS weitergeleitet werden sollen.
Wer sein NAS als einzige Backup-Quelle nutzt, sollte sich mal grundsätzlich Gedanken um eine sinnvolle Backup-Strategie machen……. ein RAID-Verbund ist eben mitnichten ein Backupkonzept……wird auf Volume1 eine Datei gelöscht, wird sie auch auf Volume2 gelöscht, da der Inhalt von Volume1 1:1 auf Volume2 gespiegelt wird.
„Da holt man sich so ein Teil, eben damit man nicht alles verliert – wenn eine Platte ausfällt, ist bei mir noch alles auf der anderen.“
Das zeigt eindrücklich, dass Du kein Backup-Konzept hast und was die möglichen Folgen sind. Die Redundanz von Festplatten erhöht die Verfügbarkeit und nicht primär die Sicherheit der Daten. Ein Backup sichert die Daten regelmäßig und hält mehrere Versionen der produktiven Daten in Backup-Archiven. Wenn man also ein vernünftiges Backup hat, dann kann auch Ransom-Ware keinen Schaden anrichten. Denn es gibt immer eine Version jeder Datei vor dem Verschlüsseln im Backup-Archiv. Mit der Synology-Software „Hyper Backup“ kann man diese Aufgabe bequem erledigen und Sicherungen lokal oder auf Cloud-Diensten anlegen lassen.
Etwas mehr Informationen wären hilfreich.
– Bis zu welcher FW-Version sind die Geräte anfällig auf diese Malware?
– Wie genau findet der Infekt statt?
– Betrifft es ausschließlich Geräte, die von außen erreichbar sind, oder kann der Befall auch im internen Netz über ein anderes Gerät (Rechner/Smartphone, etc.) durchgeführt werden?
Das würde mich auch interessieren.
Hallo Fritz,
Frage 1: das kann man so nicht beantworten. QNAP hat mehrere Versionen ihrer Firmware aktualisiert, um die Schwachstelle zu beheben. Ab welcher Version diese Änderung jeweils aktiv ist, kannst Du hier sehen: https://www.qnap.com/en/security-advisory/nas-201902-13
Frage 2: das kannst Du in dieser Analyse nachlesen: https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
Frage 3: wie oben in der Info des CERT zu lesen, sind aktuell lediglich Geräte betroffen, die über eine Port-Weiterleitung über das Internet erreichbar sind.
Danke Tandeki für die Infos.
Qnap hat echt alle 2 Monate ein Sicherheitsproblem.
Hätte ich mal lieber die 2 Euro mehr für Synology ausgegeben…
Und was hätte das geändert? Synology hat ebenso Sicherheitsprobleme. Beide Hersteller dokumentieren ihre Sicherheitslücken (und die der Drittkomponenten) gut und liefern oft Updates, ums Installieren musst Du dich aber bei beiden selber kümmern – oder jemanden damit beauftragen.
Synology hat derzeit 7 ungepatchte Sicherheitslücken, 4 davon „Important“, die älteste besteht seit über einem Jahr. Ist also auch nicht besser.
Hatte heute den Malware-Scan schon zweimal durchlaufen. Gerade alles geupdated (inkl. Firmware), neu gestartet, Malwarescan nochmal laufen lassen und direkt folgende Meldungen bekommen:
3963,“Warning“,“2019-11-01″,“22:17:55″,“System“,“XXX“,“localhost“,“[Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.“
3962,“Warning“,“2019-11-01″,“22:17:55″,“System“,“XXX“,“localhost“,“[Malware Remover] Removed high-risk malware. Restart NAS and update all apps in „App Center“ > „My Apps“ > „Install Updates“.“
3961,“Warning“,“2019-11-01″,“22:17:55″,“System“,“XXX“,“localhost“,“[Malware Remover] Removed high-risk malware. Immediately update QTS and all applications to their latest versions and use stronger account passwords. Weak passwords make the system vulnerable to exploits and malware.“
Was soll ich jetzt damit anfangen? Sagen ja nicht viel aus…
Steht doch da was passiert ist – „[Malware Remover] Removed high-risk malware“ = Eine vermeintlich bösartige Software wurde vom Malware Remover entfernt. Als zusätzliche Maßnahme wird empfohlen alles upzudaten und die Passwörter zu ändern.
Hierbei muss es sich nicht zwingend um die Schwachstelle handeln, die im Artikel beschrieben wird. Evtl. hast Du Dir durch einen Download oder eine andere Schwachstelle eine vollkommen andere Malware eingefangen, die aber lt. Warnung entfernt werden konnte. Versuche den Dateinamen zu identifizieren, dann wird es womöglich klarer.
Würde denn überhaupt ein Update der Firmware vor dem Befall mit dieser Malware schützen?
Ich finde da nichts entsprechendes zu. Es scheint ja auch nicht bekannt zu sein, wie die Schwachstelle ausgenutzt wird. Zumindest nicht der „guten“ Seite..
Würde ich so nicht sagen. Aber die vorhandenen Analysen sollte man sich schon durchlesen. Von alleine verbreiten sich Infos eben nicht:
„A previously reported malware prevents affected QNAP NAS devices from detecting updates for QTS, installing Malware Remover, and updating other applications. We have enhanced the built-in security mechanism in the QTS versions listed below. This enhancement allows QTS to disable the malware.“
Quelle: s.o.
Dort steht ja allgemein was von „a previously reported malware“, aber nicht welche konkret.
Und in der Analyse von NCSC-FI steht „The original infection method remains unknown“.
Das hört sich für mich danach an, als ob der Infektionsweg immer noch unbekannt ist und dementsprechend ein Befall weiterhin möglich wäre. Warum meinst du das wäre anders?
Ich denke das, weil nach dem von Dir zitierten Satzteil folgendes geschrieben wird:
„but during that phase malicious code is injected to the firmware of the target system, and the code is then run as part of normal operations within the device. After this the device has been compromised“
Und da QNAP eben eine gehärtete Firmware herausgegeben hat, ist zwar ein Befall möglich, aber letztlich kein Kompromittieren des befallenen Systems, da der Angriffspunkt nicht mehr vorhanden ist.
Es ist Port 443, nicht 433, den man nicht mehr nutzen soll. Bitte korrigiert das im Artikel.
Hallo, mittlerweile sind 7 Monate vergangen und auch ich bin betroffen. Bis dato kam immer noch nichts von QNAP auf die NAS, um das Problem zu beheben. Gibt es evtl. Tools? Weiß jemand, wann QNAP hier ein Entfernungstool auf den Markt bring?