QNAP NAS に大規模 DeadBolt キャンペーン:狙われる脆弱性 CVE-2022-27593

Thousands of QNAP NAS devices hit by DeadBolt ransomware (CVE-2022-27593)

2022/09/12 HelpNetSecurity — QNAP Systems は、同社の NAS デバイスのユーザーを標的とした、最新の DeadBolt ランサムウェア・キャンペーンと、攻撃者に悪用されている脆弱性 CVE-2022-27593 についての詳細情報を提供した。脆弱性 CVE-2022-27593 は、意図した制御範囲外のリソースへ向けて解決される、外部制御の参照に関するものであり、広く使用されている Photo Station アプリケーションに影響を及ぼすものである。

この脆弱性の悪用に成功した攻撃者は、システム・ファイルを変更し、最終的にはランサムウェアのインストール/展開が可能となる。National Vulnerability Database のエントリによると、リモートの未認証の攻撃者が、ユーザーの操作なしに悪用できる欠陥であり、また、攻撃の複雑性も低いとされる。

セキュリティ研究者である Jacob Baines は、AttackerKB データベース/公開フォーラムにおいて、QNAP が提供する Photo Station パッチの分析について詳述し、CVE-2022-27593 の特殊性についても洞察を示している。

彼は、「エクスプロイト・コードは公開されていないが、ここでは、エクスプロイトの基礎と思われるものを紹介する」と記している。したがって、公開された情報は、その悪用に対するシグネチャーなどを作成するための、十分な情報となる可能性が高いと指摘されている。

QNAP のアドバイス

QNAP の説明によると、同社の PSIRT チームは、2022年9月3日に今回の攻撃に関する最初の報告を受けたという。QNAP は同日にパッチをリリースし、セキュリティ・アドバイザリを公開し、ユーザーに対してパッチ適用と防御的な行動をとるよう促した。

同社のアドバイザリは、「QNAP のセキュリティ・チームは、DeadBolt マルウェアの攻撃元が匿名接続である The Onion Routing (Tor) 経由であると判断した。QNAP は悪意のホストのリストを収集し、QuFirewall アプリケーションにブラック・リストをプリロードした。QuFirewall は、オニオン・ルーティングで送信されたと疑われる不審なパケットをブロックし、NAS ホストへの攻撃を防ぐことが可能だ。オニオン・ルーティングと悪意のボットを常に検出し、悪意のパケットのブロック・リストを動的に更新している。大半のマルウェアは追跡を回避するために、匿名のオニオン・ルーティングを用いる。したがって、すべての QNAP NAS ユーザーは QuFirewall を直ちにインストールし、当社と協力してマルウェア攻撃をブロックするよう対応してほしい」と述べている。

QNAP のコメント:

  • 特定された攻撃パターンに基づき、クラウドベースのマルウェア定義アップデートをプッシュすることで、ユーザーがパッチを適用したアプリをインストールしなくても、NAS デバイスがランサムウェアの脅威から保護された。
  • QTS App Center を介したアプリ更新の自動インストールにより、インターネットに接続された一部の QNAP NAS デバイスを攻撃から保護できた。

同社は、今後のランサムウェア・キャンペーンに対する防御として、スナップショット機能を活用するようユーザーに呼びかけている。

同社は、「QNAP は 2021年に NAS のスナップショットを改正し、ランサムウェアによるスナップショットの削除を防いでいる。QTS 5.0.0 では、デフォルトで Thin/Thick Volume のスナップショットが有効になっている。定期的にスナップショットを作成するユーザーは、スナップショットを用いて NAS データを、特定の時点のレベルに完全復元できる」と説明している。

DeadBolt の感染が急増

同社は、この最新の DeadBolt キャンペーンで、どれだけのデバイスが影響を受けたのかを明らかにしていないが、9月上旬の感染の劇的な急増を、Censys は検出している。

Censys の Senior Security Researcher である Mark Ellzey は、「Deadbolt は、比較的頻繁に新たな感染を引き起こしているようだ。平均して、各キャンペーンには 7日〜12日の間隔がある。デバイス全体を暗号化し、事実上デバイスをオフラインにする代わりに、このランサムウェアは特定のバックアップ・ディレクトリのみを暗号化の対象とし、感染の除去方法を説明する情報メッセージを用いて、Web 管理インターフェースを破壊する」と述べている。

9月5日に「QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃」という記事をポストしましたが、その時点では CVE も採番されていない状況でした。そして、CVE-2022-27593 に決定されましたが、CVSS 値は QNAP が 10.0、NVD が 9.1 と評価しています。このところの QNAP は、ずっと DeadBolt に攻撃され続けています。よろしければ QNAP+DeadBolt で検索も、ご利用ください。