QNAP ได้ออกมาแจ้งเตือนผู้ใช้งานให้รีบป้องกันอุปกรณ์เก็บข้อมูลแบบเครือข่าย Network Attached Storage (NAS) ที่เชื่อมต่อออกอินเทอร์เน็ตทันทีจากการโจมตีทั้ง ransomware และการโจมตีแบบ brute-force

"QNAP แนะนำให้ผู้ใช้ QNAP NAS ทุกคนปฏิบัติตามคำแนะนำในการตั้งค่าความปลอดภัยด้านล่าง เพื่อความปลอดภัยของอุปกรณ์เครือข่าย QNAP" ผู้ผลิต NAS ของไต้หวันกล่าวในการแถลงข่าว

ผู้ผลิตอุปกรณ์ NAS เตือนผู้ใช้ให้เช็คว่า NAS ของตนถูกโจมตีได้หรือไม่ โดยเปิด Security Counselor ซึ่งเป็น security portal ในตัวสำหรับอุปกรณ์ QNAP NAS

"NAS ของคุณอาจถูกโจมตี และมีความเสี่ยงสูงหากมีข้อความว่า 'The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP’ บน Dashboard"

QNAP แนะนำให้ลูกค้าที่มีอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตให้ดำเนินการดังต่อไปนี้เพื่อป้องกันการโจมตี:

ปิดใช้งานฟังก์ชัน Port Forwarding ของเราเตอร์: เข้าไปที่ Management Interface ของ Router, ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port forwarding และปิดใช้งาน Port Forwarding เซอร์วิสที่ใช้จัดการ NAS (พอร์ต 8080 และ 433 )
ปิดใช้งานฟังก์ชัน UPnP ของ QNAP NAS: ไปที่ myQNAPcloud บนเมนู QTS คลิก “Auto Router Configuration” และยกเลิกการเลือก "Enable UPnP Port forwarding"

ผู้ผลิตอุปกรณ์ NAS ยังให้รายละเอียดขั้นตอนในการปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนหมายเลขพอร์ตของระบบ เปลี่ยนรหัสผ่านของอุปกรณ์ และเปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชี

คำเตือนนี้มีขึ้นหลังจากการถูกโจมตีด้วยแรนซัมแวร์จำนวนมาก

แม้ว่าบริษัทจะไม่เปิดเผยรายละเอียดอื่นใดเกี่ยวกับการโจมตีเหล่านี้ แต่ BleepingComputer ได้รายงานเกี่ยวกับลูกค้า QNAP ว่าระบบของพวกเขาตกเป็นเป้าหมายของ eCh0raix ransomware (หรือที่เรียกว่า QNAPCrypt) และพบว่าเหตุการณ์เหล่านี้เพิ่มขึ้นจำนวนมากในช่วงก่อนวันคริสต์มาส และยังไม่มีการระบุถึงช่องทางที่ผู้โจมตีใช้ในการโจมตี

อย่างไรก็ตาม รายงานจากผู้ใช้บางส่วนที่ถูกโจมตีด้วย ransomware มาจากการตั้งค่าที่ไม่ปลอดภัยของ QNAP ส่วนรายงานอื่นๆอ้างว่าผู้โจมตีใช้ช่องโหว่ของ QNAP Photo Station ในการโจมตี

BleepingComputer พบการเรียกค่าไถ่ ech0raix ตั้งแต่ $1,200 ถึง $3,000 ด้วย bitcoins ในการโจมตีรอบล่าสุด ผู้โจมตีบางคนได้รับเงินเพราะเหยื่อไม่มีข้อมูลสำรองของไฟล์ที่ถูกเข้ารหัส

ก่อนหน้านี้อุปกรณ์ QNAP ตกเป็นเป้าหมายของแรนซัมแวร์ eCh0raix ในเดือนมิถุนายน 2019 และมิถุนายน 2020 โดยผู้ผลิตอุปกรณ์ NAS ยังแจ้งเตือนผู้ใช้ถึงการโจมตี eCh0raix อีกชุดหนึ่งที่พุ่งเป้าไปที่อุปกรณ์ที่ใช้รหัสผ่านที่ไม่รัดกุมในเดือนพฤษภาคม 2021

ที่มา : bleepingcomputer

พบช่องโหว่ CVE-2021-45388 ในโมดูลเคอร์เนล KCodes NetUSB บนอุปกรณ์ Router ของ Vendor จำนวนนับล้านเครื่อง ช่องโหว่นี้สามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่นี้ทำให้สามารถรันโค้ดจากระยะไกลได้สำเร็จในเคอร์เนล ถึงแม้จะมีข้อจำกัดบางอย่าง แต่ก็อาจเกิดผลกระทบที่รุนแรงในวงกว้างได้

ช่องโหว่นี้ถูกค้นพบโดย SentinelLabs ซึ่งมีการรายงานกับทาง Bleeping Computer ก่อนที่จะมีการเผยแพร่

NetUSB คืออะไร และมีการกำหนดเป้าหมายอย่างไร

ผู้ผลิต Router บางแบรนด์ มีการผลิต Router ที่มี port USB บนอุปกรณ์ ซึ่งอนุญาตให้ผู้ใช้งานสามารถ แชร์ Printer และ USB drivers บนเครือข่ายได้

NetUSB มีโซลูชันการเชื่อมต่อโมดูลเคอร์เนลที่พัฒนาโดย KCodes ทำให้อุปกรณ์ในเครือข่ายสามารถเชื่อมต่อกับ USB ที่เสียบเข้ากับ Router โดยตรง

SentinelOne ค้นพบช่องโหว่ใน code segment ที่อยู่ในโมดูลเคอร์เนลที่ไม่ตรวจสอบขนาดหน่วยความจำ code segment ซึ่งส่งผลให้เกิด integer overflow ได้

ฟังก์ชัน 'SoftwareBus_fillBuf' อาจเป็นช่องทางในการทำให้ติด Malware ได้ผ่านการควบคุมจากผู้โจมตี แต่ข้อจำกัดบางประการก็อาจทำให้การโจมตีช่องโหว่นี้เกิดได้ยากขึ้น

SentinelOne เตือน "ในขณะที่มีข้อจำกัดบางอย่างที่ทำให้ยากต่อการโจมตีช่องโหว่นี้ แต่เราเชื่อว่ายังมีโอกาสเป็นไปได้ ดังนั้นผู้ใช้งาน Wi-Fi routers อาจต้องอัปเดตเฟิร์มแวร์สำหรับ Router"

Vendor ที่ได้รับผลกระทบจากช่องโหว่ และการอัพเดทแพตช์

Vendor Router ที่ใช้โมดูลที่มีช่องโหว่ดังกล่าวได้แก่

Netgear
TP-Link
Tenda
EDiMAX
Dlink
Western Digital
ยังไม่ได้มีการระบุชัดเจนว่ารุ่นใดที่ได้รับผลกระทบจากช่องโหว่ CVE-2021-45388 แต่โดยทั่วไปแล้ว ควรใช้ Product ที่มีการอัปเดตฟิร์มแวร์อย่างสม่ำเสมอ

เนื่องจากช่องโหว่ดังกล่าวส่งผลกระทบต่อ Vendor จำนวนมาก Sentinel One จึงแจ้งเตือน KCodes ก่อน ในวันที่ 9 กันยายน พ.ศ. 2564 และให้ข้อมูลคริปต์ PoC ในวันที่ 4 ตุลาคม พ.ศ. 2564 เพื่อใช้ตรวจสอบความสมบูรณ์ของแพตช์หลังจากการออกอัพเดท

Netgear ออกมาอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ CVE-2021-45388 ใน Vendor ที่ได้รับผลกระทบในวันที่ 14 ธันวาคม 2564

ตามคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันที่ 20 ธันวาคม พ.ศ. 2564 Product ของ Netgear ที่ได้รับผลกระทบมีดังต่อไปนี้
D7800 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.1.68
R6400v2 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122
R6700v3 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122

โซลูชันที่ Netgear เพิ่มเข้ามาใหม่คือฟังก์ชัน 'supplied size' เพื่อป้องกัน out-of-bounds write

ที่มา : bleepingcomputer

*Timeline การเปิดเผยข้อมูล*
09 ก.ย. 2564 - มี Email ส่งถึง KCodes เพื่อขอข้อมูลเกี่ยวกับวิธีการแจ้งข้อมูลช่องโหว่
20 ก.ย. 2564 - KCodes ได้รับรายละเอียดช่องโหว่ และคำแนะนำการแก้ไขช่องโหว่
04 ต.ค. 2021 - KCodes ได้รับสคริปต์ PoC เพื่อตรวจสอบความสมบูรณ์ของแพตช์
19 พ.ย. 2564 - KCodes ยืนยันว่าได้ส่งแพตช์ไปยัง Vendor ทุกรายแล้ว ไม่ใช่แค่ Netgear และเฟิร์มแวร์จะออกก่อนวันที่ 20 ธันวาคม
14 ธ.ค. 2564 - พบว่า Netgear ได้ออกเฟิร์มแวร์สำหรับอุปกรณ์ R6700v3 ที่พร้อมใช้แล้ว
20 ธ.ค. 2564 - Netgear เผยแพร่คำแนะนำสำหรับช่องโหว่ต่อสาธารณะ