ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนการโจมตีช่องโหว่ของผลิตภัณฑ์ QNAP NAS และ Asustor NAS เพื่อติดตั้ง DeadBolt Ransomware
23 ก.พ.65
Executive Summary
ศูนย์ TTC-CERT พบการรายงานการโจมตีช่องโหว่ของผลิตภัณฑ์ QNAP NAS (Network Attached Storage) และ Asustor NAS อย่างแพร่หลายในอินเทอร์เน็ต ซึ่งหากผู้ไม่หวังดีทำการโจมตีช่องโหว่ของผลิตภัณฑ์ที่ได้รับผลกระทบสำเร็จ จะส่งผลให้ผู้ไม่หวังดีสามารถติดตั้งมัลแวร์เรียกค่าไถ่สายพันธ์ DeadBolt ทำให้ข้อมูลสำคัญที่ถูกเก็บภายในผลิตภัณฑ์ที่ได้รับผลกระทบดังกล่าวถูกเข้ารหัส (โดยไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น “.deadbolt”) และไม่สามารถเข้าถึงข้อมูลที่ถูกเก็บอยู่ในผลิตภัณฑ์ที่ได้รับผลกระทบได้จนกว่าผู้เสียหายจะยอมจ่ายค่าไถ่
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกตรวจสอบรายละเอียดการอัพเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ QNAP NAS และ Asustor NAS เวอร์ชั่นที่ได้รับผลกระทบ ตลอดจนดำเนินการอัพเดตให้เป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่ โดยมีรายละเอียดเพิ่มเติมที่หัวข้อ “วิธีแก้ปัญหา”
ช่องโหว่เหล่านี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบนี้ และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน โดยเฉพาะผลิตภัณฑ์ QNAP NAS และ Asustor NAS ที่สามารถเข้าถึงได้โดยตรงทางอินเตอร์เน็ต (ซึ่งองค์กรไม่ควรเชื่อมต่อ NAS ให้สามารถเข้าถึงได้โดยตรงทางอินเตอร์เน็ต)
รายละเอียดของช่องโหว่โดยสรุป
- ผลิตภัณฑ์ที่ได้รับผลกระทบ: QNAP NAS และ Asustor NAS
- หน่วยงานที่ออกคำแนะนำด้านความปลอดภัย: New Zealand Computer Emergency Response Team
- Operating System: QTS, QuTS, และ ADM
- ผลกระทบ (Impact): Data Encrypted
- การแก้ไขปัญหา: Patch/Upgrade หรือ ทำการแก้ไขการตั้งค่าจนกว่าบริษัทเจ้าของผลิตภัณฑ์จะออก security patch
ข้อมูลที่พบจาก threat intelligence
- 29 ม.ค.65 2565 ผู้ใช้งานผลิตภัณฑ์ QNAP NAS บน Reddit[1] และใน QNAP official ฟอรััม[2] ได้รายงานว่าพวกเขาตกเป็นเหยื่อของการโจมตี DeadBolt ransomware
- 21 ก.พ.65 ผู้ใช้งานผลิตภัณฑ์ Asustor NAS บน Reddit[3] และใน Asustor official ฟอรััม[4] ได้รายงานว่าพวกเขาตกเป็นเหยื่อของการโจมตี DeadBolt ransomware
- 22 ก.พ.65 พบการรายงานจาก New Zealand Computer Emergency Response Team ว่าในปัจจุบันมีการโจมตีช่องโหว่ของผลิตภัณฑ์ QNAP NAS และ Asustor NAS อย่างต่อเนื่อง เพื่อทำการติดตั้งมัลแวร์เรียกค่าไถ่ (Ransomware) สายพันธ์ DeadBolt
- วิธีการโจมตีของ DeadBolt ransomware : ผู้โจมตีแอบเข้าไปใน NAS ของเหยื่อที่เชื่อมต่ออินเทอร์เน็ตโดยตรงผ่านช่องทางอินเทอร์เน็ต (ทั้งที่ตั้งใจหรือไม่ตั้งใจเชื่อมต่ออินเทอร์เน็ต) จากนั้นจะทำการเข้ารหัสข้อมูลของเหยื่อ และเรียกค่าไถ่เป็นบิตคอยน์ เหยื่อแต่ละคนจะได้รับ Bitcoin address ที่ไม่ซ้ำกันเพื่อจ่ายค่าไถ่ เมื่อเหยื่อได้ทำการชำระเงินค่าไถ่เรียบร้อยแล้ว ผู้โจมตีจะส่งคีย์ถอดรหัสไปให้เหยื่อเพื่อใช้ในการถอดรหัสไฟล์บนระบบ NAS ที่ติด DeadBolt ransomware
- ในห้วงเวลาที่รายงานฉบับนี้ออก (23 ก.พ.65 เวลา 22.30น.) ศูนย์ TTC-CERT สำรวจแล้วพบว่าประเทศไทยถูกโจมตีแล้ว 10 ราย โดยสามารถตรวจสอบรายละเอียดเพิ่มเติมได้ที่ https://www.shodan.io/search?query=http.title%3A%22LOCKED+BY+DEADBOLT.%22+country%3A%22TH%22
ผลิตภัณฑ์หรือซอฟต์แวร์ที่ได้รับผลกระทบ
- ผลิตภัณฑ์ QNAP NAS ที่ถูกเข้าถึงได้จากอินเตอร์เน็ตและมีการใช้งานระบบปฏิบัติการ QTS และ QuTS
- ผลิตภัณฑ์ QNAP NAS ที่ถูกเข้าถึงได้จากอินเตอร์เน็ต และมีการติดตั้งใช้งาน add-ons ดังต่อไปนี้
- QTS add-ons เวอร์ชัน 5.0.0.1891 build 20211221 หรือต่ำกว่า
- QTS add-ons เวอร์ชัน 4.5.4.1892 build 20211223 หรือต่ำกว่า
- QuTS hero add-ons เวอร์ชัน h5.0.0.1892 build 20211222 หรือต่ำกว่า
- QuTS hero add-ons เวอร์ชัน h4.5.4.1892 build 20211223 หรือต่ำกว่า
- QuTScloud add-ons เวอร์ชัน c5.0.0.1919 build 20220119 หรือต่ำกว่า
- ผลิตภัณฑ์ Asustor NAS ที่ถูกเข้าถึงได้จากอินเตอร์เน็ตและมีการใช้งานระบบปฏิบัติการ ADM โดยมีรุ่นดังต่อไปนี้ (ไม่จำกัดเพียงในรายการนี้) AS5104T, AS5304T, AS6404T, AS7004T, AS5202T, AS6302T, และ AS1104T
วิธีแก้ปัญหา
ศูนย์ TTC-CERT แนะนำให้องค์กรสมาชิกหรือผู้ใช้งานทั่วไปที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ดำเนินการดังต่อไปนี้
- อัปเดตซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุดที่ออกโดยบริษัทเจ้าของผลิตภัณฑ์
- สำหรับผลิตภัณฑ์ QNAP NAS บริษัทเจ้าของผลิตภัณฑ์แนะนำให้ผู้ใช้งานผลิตภัณฑ์เวอร์ชั่นที่ได้รับผลกระทบควรทำการแก้ไขการตั้งค่า ดังนี้[5]
- ปิดการใช้งาน UPnP บนผลิตภัณฑ์ QNAP NAS โดยเข้าไปที่ myQNAPcloud ภายในเมนู QTS > เลือก “Auto Router Configuration” > ยกเลิกการเลือก “Enable UPnP Port forwarding”
- อย่างไรก็ตาม ศูนย์ TTC-CERT แนะนำให้ผู้ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบนี้ ควรดำเนินการต่าง ๆ เพื่อให้มั่นใจว่าผลิตภัณฑ์ QNAP NAS ที่ใช้งานอยู่ภายในองค์กรไม่สามารถถูกเข้าถึงได้โดยตรงผ่านอินเทอร์เน็ต โดยเฉพาะหน้า web interface หรือ file share โดยผู้ใช้งานควรดำเนินการปิดการใช้งาน Port Forwarding หรือ ปิดการเข้าถึง NAS Management Service บนอุปกรณ์เราท์เตอร์หรือบนอุปกรณ์เครือข่ายขององค์กร ซึ่งโดยปกติการเข้าถึง NAS Management Service จะเข้าถึงผ่าน TCP Port 8080 และ 443
- สำหรับผลิตภัณฑ์ Asustor NAS ในห้วงเวลาที่รายงานฉบับนี้ออก (23 ก.พ.65 เวลา 22.30น.) บริษัทเจ้าของผลิตภัณฑ์ยังไม่ได้ออก Security Patch สำหรับแก้ไขช่องโหว่ที่ถูกใช้ในการโจมตีโดย DeadBolt โดยในระหว่างนี้ บริษัทเจ้าของผลิตภัณฑ์แนะนำให้ผู้ใช้งานผลิตภัณฑ์ Asustor NAS รุ่นที่ได้รับผลกระทบควรทำการแก้ไขการตั้งค่า ดังนี้[6]
- ปิดการใช้งาน (disable) EZ Connect (เป็นบริการสำหรับการทำ remote access) บนอุปกรณ์ Asustor
- ปิดการใช้งาน(disable) SSH และ SFTP
- ดำเนินการเปลี่ยนค่า Default Port สำหรับ NAS Web Access ซึ่งโดยปกติมีค่า Default คือ พอร์ต 8000 และ 8001 รวมทั้ง Remote Web Access ซึ่งโดยปกติมีค่า Default คือ พอร์ต 80 และ 443 ไปเป็น port อื่น แต่อย่างไรก็ตามศูนย์ TTC-CERT แนะนำให้ผู้ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบนี้ ควรดำเนินการต่าง ๆ เพื่อให้มั่นใจว่าผลิตภัณฑ์ Asustor NAS ที่ใช้งานอยู่ภายในองค์กรไม่สามารถถูกเข้าถึงได้โดยตรงผ่านอินเทอร์เน็ตโดยเฉพาะหน้า web interface หรือ file share
ทั้งนี้ การแก้ไขเปลี่ยนแปลงใด ๆ กับระบบ ซอฟต์แวร์ หรือ Configuration ต่าง ๆ เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
วิธีตรวจสอบว่าหน่วยงานถูกโจมตีหรือได้รับความเสียหายจากการถูกโจมตี
สมาชิกสามารถตรวจสอบว่าระบบถูกโจมตีโดยมัลแวร์เรียกค่าไถ่ Deadbolt หรือไม่ โดยให้ทำการตรวจสอบหาไฟล์ที่มีนามสกุลไฟล์เป็น “.deadbolt” ภายในผลิตภัณฑ์ QNAP NAS หรือ Asustor NAS โดยใช้คำสั่งต่อไปนี้
$ sudo find / -type f -name "*.deadbolt" |
ข้อมูลอ้างอิง
- https://forum.asustor.com/viewtopic.php?f=45&t=12630
- https://forum.qnap.com/viewtopic.php?f=45&t=164797&start=30
- https://www.asustor.com/en-gb/knowledge/detail/?id=&group_id=628%20
- https://www.cert.govt.nz/it-specialists/advisories/qnap-and-asustor-nas-vulnerabilities-exploited-to-deploy-ransomware/
- https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together
- https://www.reddit.com/r/asustor/comments/sxywfv/ransomware_attack_megathread/
- https://www.reddit.com/r/qnap/comments/scm0zv/deadbolt_ransomware_attack_against_qnaps/
/
[1] "deadbolt ransomware attack against qnaps - Reddit." 25 Jan. 2022, https://www.reddit.com/r/qnap/comments/scm0zv/deadbolt_ransomware_attack_against_qnaps/. Accessed 23 Feb. 2022.
[2] "QNAP NAS Community Forum - [RANSOMWARE] Deadbolt." https://forum.qnap.com/viewtopic.php?f=45&t=164797&start=30. Accessed 23 Feb. 2022.
[3] "Ransomware Attack - Megathread : r/asustor - Reddit." 22 Feb. 2022, https://www.reddit.com/r/asustor/comments/sxywfv/ransomware_attack_megathread/. Accessed 23 Feb. 2022.
[4] "ASUSTOR Community Forum - Deadbolt ransomware." https://forum.asustor.com/viewtopic.php?f=45&t=12630. Accessed 23 Feb. 2022.
[5] "Take Immediate Actions to Stop Your NAS from Exposing to the ...." 26 Jan. 2022, https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together. Accessed 23 Feb. 2022.
[6] "Protecting Yourself from Deadbolt - ASUSTOR Inc.." 23 Feb. 2022, https://www.asustor.com/en/knowledge/detail/?id=&group_id=628. Accessed 23 Feb. 2022.