Sala de prensa de QNAP

Taipei, Taiwán, 12 de septiembre de 2022 - QNAP® Systems, Inc. ha detectado que la amenaza de seguridad DeadBolt está explotando una vulnerabilidad de Photo Station para cifrar los NAS de QNAP que están conectados directamente a Internet. El Equipo de respuesta a incidentes de seguridad del producto de QNAP (QNAP PSIRT) llevó a cabo una evaluación, lanzó una versión parcheada de Photo Station en un plazo de 12 horas y tomó medidas de emergencia para interrumpir los ataques de ransomware. Para obtener más información, consulte los avisos de seguridad y actualizaciones: QSA-22-24.

Medidas tomadas ante los incidentes surgidos en un plazo de 12 horas

• Investigación inmediata y evaluación de los informes de vulnerabilidad
  El equipo de QNAP PSIRT fue informado el 3 de septiembre de 2022 y empezó a investigar de inmediato. Tras confirmar que el ataque se estaba dirigiendo a instancias de la aplicación de Photo Station con exposición a Internet, se formó un equipo de respuesta de emergencia, compuesto por miembros del equipo PSIRT, de I+D, de Verificación de calidad de diseño y de Soporte técnico, para solucionar rápidamente la vulnerabilidad.

• Versión parcheada de Photo Station para mitigar el alcance de los ataques de malware
  QNAP tomó medidas decisivas frente a la actividad maliciosa creando una versión parcheada de la última versión de Photo Station y lanzándola en un plazo de 5 horas tras identificar los patrones del malware. Una vez que QTS App Center instala automáticamente las actualizaciones requeridas para Photo Station, se protegen eficazmente los NAS de QNAP conectados a Internet para evitar que sigan recibiendo ataques hostiles y así limitar el posible impacto.

• Actualización de las definiciones de malware basadas en la nube para bloquear los ataques de malware
  El equipo de QNAP PSIRT habilitó las actualizaciones de las definiciones de malware basadas en la nube tras un exhaustivo análisis y prueba de los patrones de ataque. Esta medida de emergencia protegió eficazmente los NAS que no tenían instalada la aplicación parcheada frente a las amenazas de ransomware de cifrado.

• Publicación rápida del ciberataque
  Tras lanzar la versión parcheada de Photo Station, QNAP publicó las Noticias de seguridad y los Avisos de seguridad en un plazo de 12 horas para hacer público el problema e instar a los usuarios a tomar las medidas necesarias para hacer frente a los ataques.

• Recomendación de usar instantáneas para restaurar los datos del NAS
  QNAP modificó las instantáneas del NAS en 2021 para evitar que el ransomware eliminara las instantáneas. En QTS 5.0.0, las instantáneas están habilitadas por defecto en Volumen Thin/Thick. Los usuarios que creen instantáneas regularmente podrán restaurar todos los datos del NAS en un punto de tiempo específico utilizando instantáneas. Los usuarios que no creen instantáneas regularmente deberían ponerse en contacto con el Servicio de atención al cliente de QNAP lo antes posible. QNAP insta a todos los usuarios de NAS de QNAP a realizar instantáneas regulares para proteger los datos importantes.

QNAP detectó el patrón de ataque y bloqueó eficazmente el comportamiento sospechoso

El equipo de seguridad de QNAP determinó que el origen del ataque de malware de DeadBolt era a través de The Onion Routing (Tor), una conexión anónima. QNAP recopiló una lista de hosts maliciosos y precargó esta lista negra en la aplicación QuFirewall. QuFirewall bloqueará aquellos paquetes que se sospeche que son enviados mediante onion routing para evitar que los hosts NAS sean atacados. Detecta técnicas de onion routing y bots maliciosos cada día, y actualiza de forma dinámica la lista de bloqueos de paquetes maliciosos. Dado que la mayoría del malware se enruta a través de conexiones anónimas de onion routing para evitar su detección, QNAP insta a todos los usuarios de NAS de QNAP a que instalen inmediatamente QuFirewall para colaborar con nosotros en el bloqueo de ataques de malware.

Si su NAS está expuesto a Internet, debería seguir las instrucciones que se indican a continuación para garantizar la seguridad del NAS:

Paso 1: Deshabilite la función UPnP y DMZ del router

Vaya a la interfaz de administración de su router, compruebe la configuración de DMZ, UPnP, Servidor virtual o Reenvío de puertos del router, y deshabilite las opciones relacionadas.

Paso 2: Deshabilite la función UPnP del NAS de QNAP

Vaya a myQNAPcloud en el menú QTS, haga clic en “Configuración automática del router” y deseleccione “Habilitar autenticación de puertos UPnP”.

Paso 3: Tenga cuidado con el Reenvío de puertos (se recomienda deshabilitar esta función)

Si no necesita conectar con su NAS desde el exterior, se recomienda deshabilitar el Reenvío de puertos y otras opciones relacionadas con el reenvío al NAS. Si necesita el redireccionamiento al NAS, debería implementar configuraciones de seguridad estrictas como, por ejemplo, un firewall, y ajustar el puerto de administración del sistema.

• Si necesita conectar con el NAS desde Internet, utilice la conexión segura myQNAPcloud Link:
  https://www.qnap.com/go/solution/myqnapcloud-link/
• Más información sobre el acceso remoto al NAS y la seguridad de la red:
  https://www.qnap.com/go/solution/secure-remote-access/