0
0
A QNAP tem tido uma série difícil ultimamente na frente da segurança cibernética, com grupos de crimes cibernéticos visando continuamente vulnerabilidades conhecidas em seus dispositivos de armazenamento conectado à rede (NAS) e vulnerabilidades sérias que vêm à tona várias vezes já em 2022.
As ofertas da QNAP e outras opções de NAS fornecem armazenamento de arquivos centralizado e compartilhado que pode ser acessado por vários usuários e dispositivos clientes em uma rede local (LAN). Eles também oferecem uma alternativa popular aos backups e armazenamento em nuvem para empresas menores — e tendem a abrigar tesouros de dados.
De acordo com Shodan, existem quase 300.000 dispositivos QNAP conectados diretamente à Internet. E — para simplificar — os atacantes apreciam a grande população.
Diante disso, os atacantes veem os clientes NAS como uma oportunidade de ouro, de acordo com uma mesa redonda de profissionais de segurança da Dark Reading, como evidenciado por uma bonança da recente atividade de ataque cibernético relacionada à QNAP.
Clientes QNAP sem correção enfrentam frenesi de ataques cibernéticos contínuos
A ameaça de extorsão de vários níveis conhecida como ransomware Deadbolt, em particular, está batendo nos clientes da QNAP. No mês passado, por exemplo, a empresa sinalizou uma nova campanha Deadbolt indo atrás de seu hardware – a segunda onda de tais ataques nas últimas semanas.
Outros grupos de cibercrime também estão visando dispositivos vulneráveis: no início deste ano, a QNAP foi alvo de uma onda de ataques usando uma nova cepa de ransomware chamada eCh0raix.
As gangues de ransomware geralmente procuram explorar bugs conhecidos, como falhas críticas divulgadas em abril no Netatalk que afetam o firmware QNAP e Synology (CVE-2022-0194; CVE-2022-23122; CVE-2022-23125). Estes, que permanecem sem correção em certos dispositivos NAS, permitem a execução remota de código (RCE).
Outra falha explorável (mas corrigida) é uma vulnerabilidade de falsificação de solicitações entre sites (CSRF) (CVE-2021-34360) divulgada no início deste ano em dispositivos QNAP NAS que executam o Proxy Server, o que permite a injeção remota de código.
Vale a pena notar que ameaças mais sofisticadas também têm opções para se aprofundar na rede em organizações que evitando patches: em março, a QNAP, com sede em Taiwan, disse que seus dispositivos continham a grave vulnerabilidade do kernel Linux conhecida como “Dirty Pipe”, que é uma falha de escalonamento de privilégios que foi considerada séria o suficiente para justificar um alerta da Agência de Segurança Cibernética Claro, a QNAP não é a única a ser vulnerável a esse bug em particular, mas contribui para a atratividade da engrenagem como alvo.
Ao todo, a CISA tem pelo menos 10 vulnerabilidades da QNAP listadas como sendo ativamente exploradas por adversários em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
A Dark Reading falou com uma lista de pesquisadores de segurança sobre por que os dispositivos QNAP estão na mira de tanta atividade cibernética e o que as empresas podem fazer sobre isso.
Por que a QNAP está sendo direcionada?
Os dispositivos QNAP são atraentes para os cibercriminosos por várias razões, incluindo o fato de que os dispositivos de armazenamento QNAP são mais frequentemente utilizados por empresas de pequeno a médio porte (PME) com equipes de TI e segurança muito pequenas (ou inexistentes). Isso geralmente se traduz em uma falta de mão de obra para instalar patches, entre outras desvantagens – criando grandes pools de dispositivos que estão prontos para exploração.
“Os dispositivos de armazenamento que podem ser uma peça central das operações de uma organização que são fáceis de explorar criam uma tempestade perfeita para gangues de ransomware que buscam garantir um pagamento rápido às suas demandas de extorsão”, diz Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel.
Além disso, a principal missão que os atacantes assumem ao explorar vulnerabilidades é, na maioria das vezes, a coleta de dados. Historicamente, os produtos NAS têm sido usados por empresas que preferem seguir o caminho de um armazenamento no local com a necessidade de uso pesado e recursos de armazenamento, em vez de uma transferência de dados confidenciais por terceiros, de acordo com Brad Hong, líder de sucesso do cliente na Horizon3.ai.
“Como o NAS da marca QNAP é literalmente uma extensão lateral do cérebro da organização, mesmo que às vezes serve como o único armazenamento de recuperação de desastres, e representa cerca de 54% da participação de mercado do NAS, é natural que seu sistema operacional seja um alvo principal para os atacantes”, diz Hong. “Imagine ser capaz de contornar todas as etapas extenuantes da cadeia de morte cibernética em todas as empresas e, em vez disso, usar uma chave que se encaixa em mais da metade do setor – efetivamente, torna-se uma única vulnerabilidade que nega todas as pilhas cibernéticas relevantes.”
Os aparelhos NAS são um vetor de ataque perigoso — mas os atrasos de correção
Os riscos para as empresas decorrentes de um compromisso bem-sucedido são inúmeros, observam os pesquisadores, especialmente porque, por sua própria natureza, os aparelhos NAS são muitas vezes o principal meio de armazenamento de dados ou são responsáveis por backups de habitação. Assim, criptografar com sucesso um dispositivo de armazenamento com ransomware pode significar que a vítima perde não apenas dados, mas também a fonte de backups e, portanto, a capacidade de se recuperar.
“A exploração bem-sucedida de um dispositivo QNAP, que muitas vezes serve simultaneamente como o coração e a espinha dorsal de uma organização, é semelhante a entrar direto em uma sede e deslizar todos os seus dados”, explica Hong, da Horizon3.ai.
Roger Grimes, evangelista de defesa orientado por dados da KnowBe4, observa que um compromisso não significa apenas que o atacante tem acesso imediato aos dados, mas que o ator de ameaças pode usar a exploração inicial para obter mais acesso às credenciais de logon da vítima e ao ambiente de rede mais amplo. Assim, diz ele, usar os fundamentos de segurança deve ser obrigatório.
“Basicamente, se os defensores usarem credenciais de login fortes, mantiverem corrigidos e seguirem as recomendações de configuração do fornecedor, ele pode ser tão seguro quanto qualquer outro produto cibernético”, observa ele. “Mas de acordo com o relatório KEV da CISA, apenas três das 10 vulnerabilidades exploradas relatadas ocorreram desde 2020. A maioria das façanhas vem de coisas consertadas pelo fornecedor e corrigidas anos atrás.”
Clements, da Cerberus Sentinel, ressalta que os dispositivos em geral, muitas vezes também podem ficar significativamente atrás das cadências de correção de sistemas de desktop ou servidor, porque a maioria dos fornecedores não possui um mecanismo centralizado para agendar e implantar correções para falhas de segurança graves.
“Os patches precisam ser aplicados manualmente pelos administradores”, diz ele. “E corrigir dispositivos de armazenamento também pode ser perturbador não apenas porque eles exigem reinicializações, durante o qual dados importantes podem ser inacessíveis para uma empresa, mas muitas vezes os patches de segurança são distribuídos por fornecedores de dispositivos como parte de atualizações de firmware maiores que podem alterar ou até mesmo remover a funcionalidade existente da qual uma organização pode depender.”
Mas o Grimes da KnowBe4 observa que uma simples mudança administrativa pode ajudar no problema.
“A maioria dos dispositivos QNAP de hoje tem um recurso de patch automático, mas não aplicará automaticamente o patch e reiniciará sem o consentimento do administrador”, explica ele. “O patch e a reinicialização levam tempo e causam interrupção operacional dos dados no dispositivo. Então, eles têm que pedir aprovação. Seria benéfico para a QNAP e praticamente todos os dispositivos do mundo se o fornecedor pudesse corrigir e reiniciar sem permissão.”
Os clientes da QNAP precisariam aceitar que o patch vai acontecer e esperar pequenas quantidades de interrupção operacional durante o processo de patch, acrescenta ele, apontando que eles poderiam até controlar quando o patch automático acontece.
Qual é a responsabilidade da QNAP pela segurança do cliente?
Embora os clientes tenham a responsabilidade por seus próprios patches, e a onda de bugs de segurança da QNAP (e histórico irregular em corrigi-los rapidamente)?
“Claro, a QNAP pode ajudar fazendo uma codificação melhor e mais segura”, diz Grimes. “Muitas das vulnerabilidades anunciadas foram porque a QNAP não fez codificação segura do ciclo de vida de desenvolvimento (SDL) e análises simples de segurança. Muitas das falhas nos últimos anos são tão básicas que isso só mostra que a QNAP não estava se concentrando o suficiente em garantir que eles tivessem um código menos vulnerável.”
O Hong da Horizon3.ai destacou o histórico do próprio fornecedor de ser lento para corrigir vulnerabilidades divulgadas.
“Há uma conversa maior a ser continha aqui sobre a legislação que deve ser aprovada para garantir que os fornecedores estejam fazendo sua parte para proteger a segurança, não apenas a participação de mercado”, diz ele. “Um exemplo notório remonta a 2020, quando um RCE não autenticado e um exploit de gravação arbitrário de arquivos levou mais de sete meses para ser corrigido e, mesmo assim, só veio depois que seu período de carência de divulgação de quatro meses expirou e a exploração foi finalmente tornada pública.”
No entanto, Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, tem uma visão diferente.
“É difícil dizer se a QNAP acabou de sofrer uma corrida de má sorte com vulnerabilidades expostas ou se há um problema real para manter os sistemas seguros, embora eu me incline para a má sorte”, diz ele. “Espero que as atualizações da QNAP tornem os dispositivos mais seguros e a comunidade de usuários tome conhecimento e revise suas próprias implantações para garantir que elas tenham sido feitas com segurança.”
A QNAP não respondeu a uma solicitação de comentário para este artigo.
Como as empresas podem se proteger contra ataques da QNAP?
Quando se trata de melhores práticas para defesa, o básico é o lugar para começar, disseram os pesquisadores, incluindo patches regulares, conforme explicado acima. Mas outras medidas também são importantes, como manter os aparelhos fora da Internet e usar credenciais de login fortes e exclusivas.
“Geralmente, as organizações devem minimizar sua superfície de ataque público”, diz Jake Williams, diretor executivo de inteligência contra ameaças cibernéticas da Scythe. “Muitas vulnerabilidades em equipamentos de rede e outros dispositivos só são exploráveis quando a interface administrativa está exposta à Internet (algo quase universalmente desencorajado pelos fornecedores de dispositivos).”
Se eles devem ser acessíveis através da Internet, os aparelhos devem estar por trás de outras medidas de segurança, de acordo com Satnam Narang, engenheiro de pesquisa sênior da Tenable. “Idealmente, você não quer expor seus dispositivos NAS publicamente, então mantenha-os atrás de um roteador e um firewall e utilize (se disponível) a funcionalidade VPN integrada para acesso remoto”, diz ele.
Outro problema que pode ser corrigido é o uso do Universal Plug and Play (UPnP), que é um protocolo de rede que permite que os dispositivos definam automaticamente regras de encaminhamento de portas para si mesmos, o que significa que esses dispositivos são diretamente acessíveis a partir da Internet, às vezes sem o conhecimento do usuário.
“O UPnP é usado para uma variedade de propósitos, incluindo jogos e conteúdo de streaming, com o protocolo permitindo a conveniência de conectar rapidamente dispositivos a uma rede, mas a um custo de segurança”, diz Chris Morgan, analista sênior de inteligência contra ameaças cibernéticas da Digital Shadows. “O QNAP esclareceu que, após ataques direcionados aos seus dispositivos NAS, o UPnP deve ser desativado. O encaminhamento de portas, que também auxilia os usuários em solicitações de comunicação direta, também deve ser desativado.”
Além das etapas simples, os pesquisadores também observam que abordagens tecnológicas também estão disponíveis, como criptografia de dados.
“Todas as organizações devem investir na criptografia de seus dados confidenciais em repouso e, de preferência, com chaves de criptografia exclusivas por arquivo ou objeto”, diz Scott Bledsoe, CEO da Theon Technology. “Com a criptografia granular dos dados em repouso, o comprometimento de uma única chave de criptografia resultará apenas na divulgação de um único item de informação e impedirá a divulgação em larga escala de informações confidenciais.”
E, finalmente, Ryan McCurdy, vice-presidente de marketing da Bolster, explica que as abordagens baseadas em pessoas ou legadas são quase impossíveis de dimensionar com o enorme volume de dados na Web, o que poderia ser um canal para um ataque a dispositivos NAS.
“Jogar corpos e soluções pontuais para esse problema não funciona mais”, diz ele. “Para escalar, é fundamental que as empresas adotem uma abordagem de plataforma e aproveitem a automação para detectar, analisar e remover sites e conteúdos fraudulentos na Web, mídias sociais, lojas de aplicativos, mercados e na Dark Web.”
FONTE: DARK READING