QNAP, zayıf parolalara sahip, İnternet’e açık NAS (ağa bağlı depolama) cihazlarını hedef alan yaygın kaba kuvvet saldırılarında kullanılan kötü amaçlı bir sunucuyu devre dışı bıraktı.
Tayvanlı donanım satıcısı, saldırıları 14 Ekim akşamı tespit etti ve Digital Ocean’ın yardımıyla (yüzlerce virüslü sistemden oluşan bir botnet’i kontrol etmek için kullanılan) komuta ve kontrol sunucusunu iki gün içinde devre dışı bıraktı.
Şirket, “QNAP Ürün Güvenliği Olay Müdahale Ekibi (QNAP PSIRT), QuFirewall aracılığıyla yüzlerce zombi ağ IP’sini 7 saat içinde başarıyla engelleyerek hızlı bir şekilde harekete geçti ve internete açık çok sayıda QNAP NAS cihazını daha fazla saldırıya karşı etkili bir şekilde korudu” dedi.
“48 saat içinde kaynak C&C (Komuta ve Kontrol) sunucusunu da başarıyla belirlediler ve bulut hizmet sağlayıcısı Digital Ocean ile iş birliği yaparak bu C&C sunucusunu engellemek için önlemler alarak durumun daha da tırmanmasını engellediler.”
QNAP, müşterilerini, varsayılan erişim bağlantı noktası numarasını değiştirerek, yönlendiricilerinde bağlantı noktası yönlendirmeyi ve NAS’ta UPnP’yi devre dışı bırakarak, hesapları için sağlam parolalar kullanarak, parola politikaları uygulayarak ve saldırılarda hedeflenen yönetici hesabını devre dışı bırakarak cihazlarını güvence altına almaya teşvik eder.
Ayrıca güvenlik kılavuzunda savunma önlemlerinin nasıl uygulanacağına ilişkin ayrıntılı talimatlar da verilmektedir:
- “Yönetici” hesabını devre dışı bırakın (sayfa 30)
- Tüm kullanıcı hesapları için güçlü şifreler belirleyin ve zayıf şifreler kullanmaktan kaçının (sayfa 34)
- QNAP NAS donanım yazılımını ve uygulamalarını en son sürümlere güncelleyin (sayfa 24)
- QuFirewall uygulamasını yükleyin ve etkinleştirin (sayfa 46)
- NAS’ınızın internete açık olmasını önlemek için myQNAPcloud Link’in aktarma hizmetini kullanın. Bant genişliği gereksinimleri veya bağlantı noktası yönlendirmeyi gerektiren belirli uygulamalar varsa, varsayılan bağlantı noktaları 8080 ve 443’ü kullanmaktan kaçınmalısınız (sayfa 39)
Geçen hafta QNAP PSIRT başkanı Stanley Huang, “Bu saldırı hafta sonu gerçekleşti ve QNAP bunu bulut teknolojisi aracılığıyla derhal tespit ederek saldırının kaynağını hızlı bir şekilde tespit edip engelledi” dedi.
“Bu yalnızca QNAP NAS kullanıcılarının zarardan kaçınmasına yardımcı olmakla kalmadı, aynı zamanda diğer depolama kullanıcılarını da bu saldırı dalgasından etkilenmekten korudu.”
Şirket, müşterilerini düzenli olarak çevrimiçi olarak açığa çıkan QNAP NAS cihazlarına yönelik kaba kuvvet saldırılarına karşı dikkatli olmaları konusunda uyarıyor; çünkü bu saldırılar sıklıkla fidye yazılımı saldırılarıyla sonuçlanıyor [1, 2, 3].
Siber suçlular, değerli belgeleri çalmak veya şifrelemek ya da bilgi çalan kötü amaçlı yazılımlar yüklemek amacıyla sıklıkla NAS cihazlarını hedef alır. Bu cihazlar genellikle hassas dosyaları yedeklemek ve paylaşmak için kullanılıyor ve bu da onları kötü niyetli aktörler için değerli hedefler haline getiriyor.
QNAP cihazlarını hedef alan son saldırılar arasında, İnternet’e açık NAS cihazlarındaki verileri şifrelemek için güvenlik açıklarını kötüye kullanan DeadBolt, Checkmate ve eCh0raix fidye yazılımı kampanyaları yer alıyor.
Başka bir Tayvanlı NAS üreticisi olan Synology, Ağustos 2021’de müşterilerini, fidye yazılımı enfeksiyonlarına yol açabilecek devam eden kaba kuvvet saldırılarında ağa bağlı depolama cihazlarının StealthWorker botnet tarafından hedef alındığı konusunda uyardı.