QNAP, zayıf şifreli internete açık NAS (network-attached storage) cihazlarını hedefleyen geniş çaplı kaba kuvvet saldırıları kullanan kötü niyetli bir sunucuyu devre dışı bıraktı.
Tayvanlı donanım sağlayıcısı, saldırıları 14 Ekim akşamı tespit etti ve Digital Ocean’ın yardımıyla, yüzlerce enfekte sistemin botnetini kontrol etmek için kullanılan komut ve kontrol sunucusunu iki günde devre dışı bıraktı.
“QNAP Ürün Güvenliği Olay Yanıt Ekibi (QNAP PSIRT), hızlı bir şekilde harekete geçti ve başarılı bir şekilde yedi saat içinde yüzlerce zombi ağ IP’sini QuFirewall aracılığıyla engelleyerek, birçok internete açık QNAP NAS cihazını daha fazla saldırıdan korudu,” şirketin açıklaması şu şekildedir.
“48 saat içinde, kaynak C&C (Komut ve Kontrol) sunucusunu başarılı bir şekilde belirlediler ve bulunan bu C&C sunucusunu engellemek için bulut hizmet sağlayıcısı Digital Ocean ile işbirliği yaparak durumu daha fazla tırmanmasını engellediler.”
QNAP, müşterilerini cihazlarını güvence altına almak için varsayılan erişim port numarasını değiştirme, yönlendiricilerinde port yönlendirmeyi ve NAS üzerinde UPnP’yi devre dışı bırakma, hesapları için güçlü şifreler kullanma, şifre politikalarını uygulama ve saldırılara hedef olan yönetici hesabını devre dışı bırakma konularında dikkatli olmaları konusunda uyarır.
Ayrıca, güvenlik kılavuzunda savunma önlemlerini nasıl uygulayacaklarına dair ayrıntılı talimatlar sağlar:
- “admin” hesabını devre dışı bırakma (sayfa 30)
- Tüm kullanıcı hesapları için güçlü şifreler belirleme ve zayıf şifreler kullanmamak (sayfa 34)
- QNAP NAS yazılımını ve uygulamalarını en son sürümlere güncelleme (sayfa 24)
- QuFirewall uygulamasını kurma ve etkinleştirme (sayfa 46)
- NAS’ınızın internete maruz kalmasını önlemek için myQNAPcloud Link’in yönlendirme hizmetini kullanma. Bandwidth gereksinimleri veya belirli uygulamalar port yönlendirmesi gerektiriyorsa, varsayılan 8080 ve 443 portlarını kullanmamak önemlidir (sayfa 39)
QNAP PSIRT başkanı Stanley Huang, “Bu saldırı hafta sonu gerçekleşti ve QNAP hızla bulut teknolojisi aracılığıyla tanıdı, saldırının kaynağını hızla belirleyip engelledi,” dedi.
“Bu sadece QNAP NAS kullanıcılarının zarar görmesine yardımcı olmakla kalmadı, aynı zamanda bu saldırı dalgasından etkilenmemeleri için diğer depolama kullanıcılarını da korudu.”
Şirket, müşterilerini QNAP NAS cihazlarına yönelik çevrimiçi maruziyetin neden olduğu kaba kuvvet saldırılarına karşı dikkatli olmaları konusunda düzenli olarak uyarır, çünkü bu tür saldırılar sık sık fidye saldırılarına yol açar.
Kötü niyetli aktörler sık sık NAS cihazlarını hedef alır, değerli belgeleri çalmak veya şifrelemek veya bilgi çalma yazılımı kurmak amacıyla. Bu cihazlar sık sık hassas dosyaların yedeklenmesi ve paylaşılması için kullanıldığından, kötü niyetli aktörler için değerli hedefler olurlar.
Son zamanlarda QNAP cihazlarını hedef alan saldırılar, güvenlik açıklarını istismar eden DeadBolt, Checkmate ve eCh0raix fidye saldırı kampanyalarını içerir. Ayrıca, başka bir Tayvanlı NAS üreticisi olan Synology, ağa bağlı depolama cihazlarının sürekli kaba kuvvet saldırılarına hedef olduğu ve fidye yazılımı enfeksiyonlarına yol açabileceği konusunda müşterilerini Ağustos 2021’de uyardı.
kaynak : BleepingComputer