V těchto dnech se sešly „krásné“ ukázky dvou různých útoků, jenž jsou vedeny zcela odlišným způsobem, avšak oba vedou ke ztrátě dat či rovnou destrukci samotných virtuálních serverů.

Přes 29 tisíc zranitelných síťových úložišt NAS QNAP dostupných z internetu

Krabička NAS – Network Attached Storage

Na bleepingcomputer.com upozorňují na skutečnost, že zařízení typu NAS, tedy síťová úložiště, se často stávají cílem ransomwarových útoků. Pokud není NASka záplatována a je viditelná z internetu, riziko je obrovské a důsledky katastrofální. V současnosti je například v ohrožení přes 29 tisíc takových zařízení.

Připomeňme přitom, že pokud si někdo NASku koupí (a nemusí jít nutně o QNAP, ale třeba o Synology, WD, …), ať už domů, nebo do firmy, tohle zařízení se může stát přístupným z internetu bez většího přičinění uživatele. A do díky dvousečné funkcionalitě UPnP Port Forwarding. Ta je k dispozici snad u všech domácích WiFi routerů a standardně bývá zapnutá.

Štěstí v neštěstí

Pointa UPnP Port Forwardingu je krásná: když chcete hrát s kamarádem multi-player hru a založíte lokální server, hra si díky aktivnímu UPnP sama na routeru zajistí prostup do internetu a tudíž i viditelnost serveru od kamaráda. UPnP využívají i chytré televizory, IP kamery (prostupem do internetu zajistí to, že budete obraz kamery moci sledovat i z mobilního telefonu odjinud) a další zařízení. Zde krása končí. Zbytek je dost naprd: protokol UPnP nemá žádný ověřovací mechanismus, takže jedno zařízení může otevřít přístup z internetu i pro zcela jiná zařízení. Jinak řečeno, zavirovaný počítač může zpřístupnit z internetu celou domácí síť a další zařízení u kterých nikdo nikdy neočekával, že budou dostupná z celého světa!

Takže ponaučení:

vypnout UPnP Port Forwaring v administraci routeru

záplatovat všechna zařízení v síti

Ransomware ESXiArgs útočí celosvětově na Vmware ESXi servery

Zatímco první útok probíhal z venku, tohle je záležitostí útoku zevnitř kompromitované firemní sítě (ač technicky může být veden i z internetu). Ransomware ESXiArgs využívá dva roky staré, dávno záplatované zranitelnosti, motající se okolo služby SLP – Service Location Protocol, vedené jako CVE-2021-21974.

Nicméně i po dvou letech je v oběhu spousta nezáplatovaných ESXi serverů v těchto verzích:

ESXi 7.x do ESXi70U1c-17325551

ESXi 6.7.x do ESXi670-202102401-SG

ESXi 6.5.x do to ESXi650-202102101-SG

Jakmile se ransomware na hypervisor ESXi dostane, zůstávají oči pro pláč… Pak to totiž není pouze o zašifrování dat, ale o zašifrování kompletních virtuálních serverů. Tj. kromě ztráty dat to znamená i nefunkčnost samotných serverů! Více info a zkušeností třeba na tomto diskuzním fóru.


1 komentář » for Útok z venku i zevnitř (QNAP vs VMWARE)
  1. Miko napsal:

    If NASka is not patched and visible from the Internet, the risk is huge and the consequences catastrophic in Pasadena. Currently, for example, over 29,000 such devices are at risk.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..