News Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt

calippo schrieb:
Niedrige Zahlungsbereitschaft, keine Ambitionen, sich mit Anleitungen und den Einstellungen zu beschäftigen, keine Bereitschaft, einen Profi zu bezahlen.
Nicht alle haben genügend Geld um sich das zu leisten.
Mit der Logik sind auch alle Gebauchtwagenfahrer selber schuld.
Ein Profi für solche Zwecke ist für die allermeisten ebenfalls nicht bezahlbar.
Und abschließend: keiner der genannten Gründe rechtfertigt dem Kunden eine Schuld zu geben. Wer kein Angebot machen kann, daß er pflegt zu dem angebotenem Preis, sollte nicht auf den Markt.
 
Zuletzt bearbeitet:
Jeder, der hier brüllt das es seine eigene Schuld ist oder die der Hersteller: Jeder kann Opfer werden. Software hat immer Lücken und das wird auch immer so bleiben. Die werden von Verbrechern immer gesucht und ausgenutzt und das oft, bevor Sie vom Hersteller oder Anwender erkannt werden. Daher ist ein Backup IMMER erforderlich, wenn die Daten wichtig sind.

Ein NAS schützt besten Falles vor dem Festplattenausfall, wenn es ein NAS mit mindestens zwei Festplatten ist. Ein Backup auf eine externe Festplatte ist auch nur dann ein Backup, wenn mindestens zwei Festplatten verwendet werden und das jeweils nicht genutzte Laufwerk sich nicht am gleichen Ort befindet (oder alternativ in einem feuerfesten Safe) Nur dann besteht im Worstcase Schutz. Als IT-Dienstleister kann ich euch sagen, dass die meisten Menschen ein „Backup“ oft völlig falsch verstehen oder absolut unzureichend umsetzen. Jede Woche treffe ich auf Menschen, die ich aufkläre und dann ein wirkliches Backup umsetze…
 
P4ge schrieb:
Haben wir 2022 Mitleid mit Menschen die auf eine Email mit dem Hinweis "Glückwunsch sie haben 5,2 Millarden geerbt, wenn sie mir nur 10.000,- € Anwaltsgebühren überweisen." reinfallen?
Auf jeden Fall! Man muss mit Menschen, die auf so etwas reinfallen, Mitleid haben. Die machen das ja nicht freiwillig.

P4ge schrieb:
"Schön" zu sehen das jetzt alle anderen genauso betroffen sind wie QNAP.
Das hab ich mir auch gedacht. Ich hatte damals sogar (glaub bei heise) aufgrund des Artikels gefragt, was die Lücke denn so 'QNAP-typisch' macht. Aufgrund der Beschreibung des Exploits konnte man ahnen, dass es viele betrifft, wenn nicht alle. Es gab keine Antwort.

Was wurde da umgenörgelt, dass Firmware sich einfach so installiert. Hauptsache Schutz.
Naja, da bin ich aber auch anderer Meinung. Es geht einfach nichts über die Gerätehoheit beim Admin - Punkt. Wenn ich kein Update will, darf man mich auch nicht zwingen. Es gibt für solche Zwangsmaßnahmen auch keinen Grund. Ich habe nichts dagegen, dass man für 'Hinz und Kunz' die 'Sicherheits-Automatiken' im Auslieferungszustand einschaltet und deren Abschaltung meinetwegen auch tief in eine Konfiguration 'versteckt', die Hinz und Kunz eben nie aufsucht. Aber wenn ein 'Fachmann' das alles überwindet, weil er sich eben auskennt, darf der Hersteller seinen Willen nicht einfach ignorieren. Erst Recht nicht, wenn wie bei QNAP geschehen, gern mal komplette Funktionen in einer nächsten Firmware fehlen. Frag die Leute mal nach USB-Druckern am NAS. Die wurden ohne Ankündigung über Nacht abgeschaltet ... Sowas geht überhaupt nicht!
 
  • Gefällt mir
Reaktionen: AGB-Leser
Luthredon schrieb:
Man muss mit Menschen, die auf so etwas reinfallen, Mitleid haben. Die machen das ja nicht freiwillig.
Was? Wo werden die denn gezwungen?
An dem Punkt kommen wir nicht zueinander. Sobald solche Aktionen bekannt sind und ich meine nicht hier und da kommt das einmal vor, sondern jeder hat davon gehört, dann ist es mit Mitleid vorbei. Ja das ist ärgerlich für die entsprechende Person, aber mehr auch nicht.
Luthredon schrieb:
Das hab ich mir auch gedacht. Ich hatte damals sogar (glaub bei heise) aufgrund des Artikels gefragt, was die Lücke denn so 'QNAP-typisch' macht. Aufgrund der Beschreibung des Exploits konnte man ahnen, dass es viele betrifft, wenn nicht alle. Es gab keine Antwort.
Und ist es dann an diesem Punkt nicht ratsam zu überdenken, ob das öffnen gen Internet wirklich die richtige Wahl ist, bzw. ob das unbewusst so ist? Das man vielleicht nicht selbst die Lücke schließen kann, ok. Aber überrascht zu sein, das einen so ein Exploit trifft ist mmn dann auch vorbei.

Luthredon schrieb:
Naja, da bin ich aber auch anderer Meinung. Es geht einfach nichts über die Gerätehoheit beim Admin - Punkt.
Ja das ist mmn ne schwierige Situation. Natürlich gehört die Hoheit mir als Eigentümer. Darüber gibt es nix zu streiten. Wenn eben dieser Hersteller jedoch die Lücke schließen kann, noch dazu aus der ferne schützt er zumindest die Leute die sich nicht über dieses Thema informiert hat.
Ich denke hier wäre ein einfach "Hotfix" der Firmwarestelle besser gewesen.
Bei der Frage ob USB Drucker nicht mehr gehen über Nacht, mmn lieber die Funktion weg und meine Daten sind noch da, als anders herum. Dann hol ich mir einen mit LAN, kann man noch einfacher einbinden.

Mir ist schon bewusst, dass das ein sehr hoher und sehr privater Eingriff ist. Nur stell ich mir, gerade auch im Hinblick wie hier einige Reagien die Frage, "ist es nicht der bessere Schritt gewesen?". Ich meine wenn nach über einem Monat der Exploit bei anderen auftritt und z.B. TM hätte wie Qnap gefixt wäre vielleicht keine NAS verschlüsselt.
 
Dazu gehören beispielsweise der Remote-Access-Dienst TNAS.online sowie der SSH-, Terminal- und FTP-Zugriff.
Mal davon abgesehen dass solche Dienste aus dem Internet sowieso nie direkt erreichbar sein sollten (was gerade in Zeiten von uPNP und auch möglicherweise native IPv6 wieder eine größere Rolle spielt!) stellt man sich bei SSH doch die Frage was die da fabriziert haben?
Wenn es korrekt abgesichert wird (Public-Key-Auth. und permitRootLogin) sollte doch eigentlich SSH releativ sicher zu betreiben sein. Natürlich müsste dann auch die Firmware (OpenSSH-Versionen, etc.) einen entsprechenden Stand aufweisen. Und sind die heutigen NAS-Geräte (unabhängig vom Hersteller) tatsächlich noch ohne einer Art "fail2ban" unterwegs?
 
Mal ein kurzes Update, was ich jetzt gemacht habe:

In meinem PC läuft jetzt zusätzlich eine 2TB SSD. Die ist jetzt primärer Datenspeicher für meine "Eigene Dateien". Da ist eigentlich alles drin, was mir halbwegs wichtig ist. Vorher hatte ich nur 0,5TB Speicherplatz, so dass ich sehr viele Daten direkt auf dem Nas gespeichert hatte. Das mache ich jetzt anders. Die anderen hier im Haushalt sowieso.

Dazu kommt das frisch neu aufgesetzte Nas, das jetzt keinen Zugang mehr zum Internet hat. Raid 1, damit die Ausfallsicherheit noch etwas höher ist. Von allen PCs hier laufen jetzt automatisierte Updates der eigenen Dateien bzw. /home Ordner auf das Nas. 3x die Woche.

Am Nas hängt eine WD MyBook, auf die 2x die Woche alles, was auf dem Nas ist gespiegelt wird.

In allerletzter Instanz habe ich noch eine externe Platte, auf der der jetzt gerade aktuelle Stand abgebildet ist. Die liegt in einem anderen Zimmer in einer Kiste. Da werde ich hin und wieder mal eine Kopie der Daten drauf machen, wenn ich das Gefühl habe, dass es mal wieder nötig sein könnte. Die ist allerdings nicht so groß, dass da noch ewig alles drauf passt.

So habe ich zwar nicht den 100%igen Lehrbuch-Schutz, aber für mich als Privatperson, desses Existenz nicht an den Daten hängt ist das schon recht konsequent. Es braucht jetzt meiner Interpretation nach schon außerordentliches Pech, um alles zu verlieren.

Online verfügbar für unterwegs werde ich Cloud-Speicher nutzen, den ich ohnehin schon habe. Ob das MS, Google, TKom, oder was auch immer sein wird, weiß ich noch nicht. Durch diverse Verträge und Dienste habe ich einige Optionen, die bisher ungenutzt sind.


Direkt zum Thema:
Ein Update von ASUSTOR extra für Deadbolt gab es jetzt auch:
https://www.asustor.com/de/knowledge/detail/?id=&group_id=629
 
P4ge schrieb:
Was? Wo werden die denn gezwungen?
...
Sobald solche Aktionen bekannt sind und ich meine nicht hier und da kommt das einmal vor, sondern jeder hat davon gehört ...
Ich glaube du traust den Usern viel zu viel zu. Wir reden hier natürlich nicht von 'IT-Profis'. Aber massenhaft dieser 2-HD-NASe werden an Leute verkauft, die eben nichts 'davon hören', dass es da Sicherheitsprobleme gibt. Wo sollen sie auch? Die lesen keine IT-News. Die kaufen so ein Ding, halten sich an die 'Schnellstartanleitung' und fertig. Wie gesagt, für die ist das automatische Zwangsupdate auch i.O.

Und ist es dann an diesem Punkt nicht ratsam zu überdenken, ob das öffnen gen Internet wirklich die richtige Wahl ist, bzw. ob das unbewusst so ist?
Siehe oben. Das wird den Leuten gerade von QNAP sofort eingeredet. Da kleben sogar 2 QR-Codes auf dem Gerät und man soll sich einen QNAP Account anlachen und blablabla ... das muss dann halt unterbleiben.

Bei der Frage ob USB Drucker nicht mehr gehen über Nacht, mmn lieber die Funktion weg und meine Daten sind noch da, als anders herum.
Alles richtig, aber eben meine Entscheidung. Ich darf das Ding auch aus dem Fenster werfen :). DA reden wir von Profis, wie gesagt, wenn die Hürden der Entscheidung hoch genug sind, dass Otto Normalverbraucher das eben nie benutzt.

Aber hey, wir ändern daran eh nix. Die Firmen werden weiterhin ads tun, was für ihre Gewinne das Beste ist, die Leute werden weiterhin blauäugig sein und die paar Leute (prozentual), die sowas wie CB lesen, werden den Kopf weiterhin schütteln :).
 
Da passt aber vieles nicht zusammen bei dir:
Luthredon schrieb:
Ich glaube du traust den Usern viel zu viel zu. Wir reden hier natürlich nicht von 'IT-Profis'. Aber massenhaft dieser 2-HD-NASe werden an Leute verkauft, die eben nichts 'davon hören', dass es da Sicherheitsprobleme gibt. Wo sollen sie auch?
Luthredon schrieb:
Das wird den Leuten gerade von QNAP sofort eingeredet. Da kleben sogar 2 QR-Codes auf dem Gerät und man soll sich einen QNAP Account anlachen
Luthredon schrieb:
Alles richtig, aber eben meine Entscheidung.
Wenn der Großteil der Besitzer dieser oder ähnlicher NAS keine Ahnung vom dem Gerät haben und sich wenig bis gar nicht mit Sicherheit beschäftigen, macht ein "gefragtes" Update keinen Sinn. Die Option für Profis sich von Firmwareupdates zu befreien birgt mmn viel mehr Gefahren. Nehmen wir an, ein reguläres Update (oder auch Virus) würde diesen Softwareschalter umlegen, das NAS würde sich offen im Netz befinden und der Benutzer weiß es nicht.
Der Profi mag das zwar "wissen" aber wie du selbst sagst die Masse ist das nicht. Und sorry das ich das so hart sagen muss, da muss man halt die Dummheit vor schützen.

Ja ich geh halt davon aus das der Mensch/Benutzer keine Ahnung hat, aber das hat den Vorteil das es ab diesem Zeitpunkt nur Bergauf gehen kann.
Luthredon schrieb:
Aber hey, wir ändern daran eh nix.
Angebot und Nachfrage. Wenn keine 1Bay gefragt werden, werden keine 1Bay gekauft etc. Es geht zunächst einmal um die Masse. Die kauft aber nicht sinnig sondern, wie du treffend sagst: Blauäugig und dann zweimal.
 
Hey, dann will ich mich als betroffener auch einmal einmischen.

Ein NAS ist kein HTTP Server im dem sinne das man hauptsächlich Nginx laufen lässt und gib ihm. Einen NAS benötigen wir um schnell Medien zwischen den Computern im Büro einfach zwischen den Mitarbeitern hin und her zu senden und zwar an Windows Rechner (ich erwähne Premiere Pro) mit dem SAMBA Protokoll. Und genau hier war bei all diesen Herstellern das Problem.

Mit der Sicherheitslücke CVE-2021-44142 waren hauptsächlich alle angreifbar die eben stark auf Samba setzen. Wer jetzt hier sagt er wüsste sowas muss zwangsläufig ein Lügner sein denn dann hätte er ja selbst diese Sicherheitslücke gefunden.

Es ist unbefriedigend wenn sowas passiert aber es wird nicht das erste und das letzte mal gewesen sein und wer hier fröhlich rumpalabert von seinem eigens kompilierten Unix kernel mit Apache (lol), der kann morgen von einer ganz anderen Sicherheitslücke betroffen sein. Nichts, absolut ist Garnichts sicher und diesem fall hat es hauptsächlich die Unternehmen getroffen da viele bereit sind für das wiederbeschaffen ihrer Daten Geld zu bezahlen.

Es ist unmöglich selber jede Lücke zu stopfen oder zu finden, alleine hier inhouse befinden sich über 30 Geräte am Netzwerk, es ist quasi unmöglich jedes Firmware Upgrade und System zu dekompilieren um Lücken zu finden.

Was bleibt am Ende ist eine Backupstrategie für solche Worst Case Szenarien.

Fazit

Wer sich selbst wie einige hier angegeben haben selbst einen NAS "gebastelt" zu haben wäre damit bei SAMBA auch auf die Nase gefallen, ebenso könnte man augmentieren das man ja auch zig Firewalls mit VPN Zugang einrichten könnte,- in der Praxis ist aber vieles Inhouse Zeitkritisch,- vor allem bei einigen Medien Dateien muss es schnell gehen, es ist also unabdingbar es praktikabel zu halten und hoffen das die nächste Firewall besser unbekannte threats fernhält. Auch die Hersteller müssen nun mit ihren Systemen jetzt auf diese gestiegenen Bedrohung mit neuen Software- Komponenten reagieren die solche dinge erschweren (Snapshots usw).
 
Zuletzt bearbeitet:
Ich geh stark davon aus, das was QNAP dazu geschrieben hat war lediglich
https://www.qnap.com/en/security-advisory/qsa-21-57

Was dafür spricht ist das es zuerst QNAP war, dann Asustor und anschließend Terra-Master.

Ich hatte versucht den weg nachzustellen
Was ich bei mir fand war das es zwei Angriffe gab, den ersten an 07.01 hier gelang es immerhin schon eine Webshell im /usr/tos/ Ordner zu installieren. Dieser ging jedoch am Ende schief da die erzeugten Dateien Maschinen Code enthielten

https://imgur.com/a/QmuQWbc

Hierbei war man jedenfalls schon so weit gekommen die rc.local von außen umzuschreiben, es gab keine anderen Dateien die derartige Befehle enthielten und ausgeführt wurden.

https://imgur.com/a/KBVGp6W

Der zweite (erfolgreiche) fand dann am 28.02 statt


Was CVE-2021-44142 betrifft,- das ging tatsächlich remote
https://jfrog.com/blog/cve-2021-44142-critical-samba-vulnerability-allows-remote-code-execution/

Ironischerweise wurde es gefunden beim Angriff auf die WD My Cloud.
 
  • Gefällt mir
Reaktionen: M-X
Temporär schrieb:

Da steht
To trigger this vulnerability, an attacker needs to upload a new file to the Samba share, which requires write permissions for that share.

Kann sich ein Angreifer von außen Schreibrechte auf den Samba Share beschaffen, wenn das NAS nur im LAN hängt? Klar, wenn einer der im LAN befindlichen Rechner kompromittiert ist, geht das bestimmt.
Aber auch von außen, wenn das NAS hinter einer Consumerrouter Firewall hängt?

Im gezielten Angriff geht das natürlich bestimmt auch, aber die Ransomware Angriffe werden doch standardisiert von Bots ausgeführt, oder?

Temporär schrieb:
Was bleibt am Ende ist eine Backupstrategie für solche Worst Case Szenarien.
Ja, Backup ist und bleibt die Sicherheitsvorkehrung Nr. 1. Und vor allem immer Recoveryszenarien üben/testen.
 
Zurück
Oben