El Ransomware Deadbolt podría cifrar miles de dispositivos NAS de QNAP

El 30 de enero de 2023 comenzaron a surgir informes sobre una vulnerabilidad recién descubierta que afecta a los dispositivos QNAP. Aunque hay información limitada sobre los detalles de la vulnerabilidad, se ha solucionado en la versión 5.0.1.2234 de QTS y la versión h5.0.1.2248 de QuTS Hero y afecta a los dispositivos QNAP QTS que ejecutan versiones anteriores a la 5.0.1.2234 y versiones de QuTS Hero anteriores a “h5. 0.1.2248.” La vulnerabilidad afecta a las versiones de QTS Hero anteriores a “h5.0.1.2248”. Esto está siendo monitoreado como CVE-2022-27596 en este momento.

QNAP ha determinado que se trata de una vulnerabilidad importante ya que tiene una complejidad de ataque baja, no necesita autenticación y se puede explotar de forma remota. Si la explotación tiene éxito, un atacante podrá “inyectar código malicioso”.

Debido al hecho de que el ransomware Deadbolt está diseñado para apuntar particularmente a los equipos NAS de QNAP, es bastante probable que, en caso de que se haga público un exploit, los mismos ciberdelincuentes lo usarían para distribuir el ransomware Deadbolt una vez más.

Desafortunadamente, los expertos solo pudieron recopilar el número de versión de 30 520 de los 67 415 servidores que mostraban signos de ejecutar un sistema basado en QNAP. Censys ha visto indicaciones de que 67 415 hosts ejecutan un sistema basado en QNAP. Sin embargo, si el aviso es correcto, más del 98 % de los dispositivos QNAP que se han detectado serían susceptibles a este ataque. Descubrieron que de los 30 520 sitios que tenían una versión, solo 557 usaban una versión de QuTS Hero mayor o igual a “h5.0.1.2248” o una versión de QTS mayor o igual a “5.0.1.2234”. Esto indica que la vulnerabilidad podría afectar potencialmente a 29.968 hosts.

Es posible que miles de clientes de QNAP tengan problemas si la vulnerabilidad se hace pública y luego se utiliza como arma. Es imperativo que todos actualicen rápidamente sus dispositivos QNAP para protegerse de futuras operaciones de ransomware.

El siguiente es un resumen de los diez principales países cuyos hosts ejecutan versiones de QNAP que se consideran susceptibles a la vulnerabilidad CVE-2022-27596.

El siguiente es un resumen de las 10 versiones más susceptibles del software de QNAP que descubrimos al realizar un escaneo auxiliar en Internet.

QNAP recomienda enfáticamente que los usuarios actualicen a la versión más reciente, que los usuarios pueden ubicar en la página de estado de soporte del producto.

Le recomendamos encarecidamente que tome medidas para asegurarse de que el dispositivo no esté conectado a Internet.