QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃

QNAP patches zero-day used in new Deadbolt ransomware attacks

2022/09/05 BleepingComputer — QNAP Photo Station のゼロデイ脆弱性を悪用する、土曜日から始まった新たな DeadBolt ランサムウェア攻撃について、顧客へ警告が発せられた。同社は、このセキュリティ脆弱性にパッチを適用したが、攻撃は今日も続いている。QNAP はセキュリティ通知において、「今日、QNAP は、セキュリティ脅威として DeadBolt ランサムウェアを検出した。この攻撃は、ダイレクトにインターネット接続されている QNAP NAS を暗号化するために、Photo Station の脆弱性を悪用している」と述べている。

攻撃は広範囲におよんでおり、土曜日と日曜日に ID Ransomware への投稿が急増した。

A surge in DeadBolt submissions to ID Ransomware
急増した ID Ransomware への DeadBolt の投稿
Source: BleepingComputer

QNAP がゼロデイ脆弱性のパッチをリリース

このゼロデイ脆弱性を悪用する攻撃を DeadBolt 開始してから12時間後に、QNAP は Photo Station のセキュリティ・アップデートをリリースした。そして、NAS の顧客に対して、Photo Station を直ちに最新バージョンに更新するよう促している。

以下のセキュリティ・アップデートにより、脆弱性が修正されている。

  • QTS 5.0.1:Photo Station 6.1.2 以降
  • QTS 5.0.0/4.5.x:Photo Station 6.0.22 以降
  • QTS 4.3.6:Photo Station 5.7.18 以降
  • QTS 4.3.3:Photo Station 5.4.15 以降
  • QTS 4.2.6:Photo Station 5.2.14 以降

また、QNAP はユーザーの安全を考慮し、QNAP NAS デバイス用のフォト・ストレージ管理ツールを、Photo Station から QuMagie に置き換えることも提案している。同社は、「QNAP NAS を、ダイレクトにインターネット接続せずに、QNAP が提供する myQNAPcloud Link 機能を活用するか、VPN サービスを有効にすることを推奨する」と述べている。

今回のセキュリティ・アップデートを適用することで、このゼロデイ脆弱性を悪用する DeadBolt ランサムウェアなどに対して、デバイスの暗号化から保護できる。ただし、NAS デバイスの配置については、決してパブリック・インターネットに露出させず、ファイアウォールの背後に置く必要がある。

QNAP ユーザーは、利用可能なアップデートの適用と、myQNAPcloud のセットアップに関する詳細な手順を、セキュリティ・アドバイザリで確認できる。さらに、すべての NAS ユーザー・アカウントに強力なパスワードを使用し、攻撃された場合のデータ損失を防ぐために、定期的にスナップショットを取ることが推奨される。

NAS ランサムウェアの悩みの種 DeadBolt

ランサムウェア・グループ DeadBolt は、2022年1月から、インターネットに公開された NAS デバイスのゼロデイ脆弱性とされるものを悪用しながら、NAS デバイスを標的にしきた。このランサムウェア攻撃は、2022年5月と6月に、QNAP デバイスへのさらなる攻撃を仕掛けている。

DeadBolt ransom notes
DeadBolt ransom notes
Source: BleepingComputer

2022年2月上旬に DeadBolt は、7.5 Bitcoin でベンダーに販売を試みたゼロデイ脆弱性を悪用し、ASUSTOR NAS デバイスをターゲットにし始めた。これらの攻撃のほとんどで、DeadBolt は、影響を受けたユーザーに対して、復号器と引き換えに $1,000 強の支払いを要求していた。

しかし、他の NAS ランサムウェア・グループは、被害者にもっと多額の金額を要求している。2022年7月には、Checkmate ランサムウェアが QNAP NAS 製品を標的にし、被害者に $15,000 の支払いを求めている。

今年に入ってからの QNAP は、攻撃に関する記事が毎月のようにポストされ続けています。最近のものとしては、6月17日の「QNAP の警告:DeadBolt ランサムウェアによる新たな攻撃キャンペーンが始まった?」や、6月18日の「QNAP NAS デバイスを再攻撃する eCh0raix ランサムウェア:ID Ransomware への報告が示すものは?」、7月7日の「QNAP 警告:新しいランサムウェア Checkmate が NAS を標的にしている」などがあります。よろしければ、QNAP で検索も、ご利用ください。

%d bloggers like this: