Boletín de Seguridad UNAM-CERT-2022-007 Actualizaciones de seguridad liberadas para dispositivos QNAP por ransomware DEADBOLT
Descripción
El 25 de enero de 2022, el ransomware DEADBOLT comenzó a atacar algunos dispositivos NAS de QNAP. El ransomware cifra y renombra los archivos con la extensión .deadbolt, también modifica la página de inicio con una nota de secuestro.
El ransomware explota la vulnerabilidad reportada en el aviso de seguridad QSA-21-57
QNAP
Versiones afectadas
-
QTS 5.0.0.1891, compilación 20211221 y superiores
-
QTS 4.5.4.1892, compilación 20211223 y superiores
-
QuTS hero h5.0.0.1892, compilación 20211222 y superiores
-
QuTS hero h4.5.4.1892, compilación 20211223 y superiores
-
QuTScloud c5.0.0.1919, compilación 20220119 y superiores
Solución
Aplicar las actualizaciones a la última versión.
Actualización de QTS o QuTS hero
-
Desde un navegador web inicie sesión como administrador en el dispositivo NAS de QNAP y escriba en la barra de direcciones alguna de las siguientes URL (sustituya nas_ip por la dirección IP del equipo):http://nas_ip:8080/cgi-bin/index.cgihttps://nas_ip/cgi-bin/index.cgi
-
Ingrese al Panel de control > Sistema > Actualización de firmware
-
En Live Update, haga clic en Buscar actualizaciones
-
QTS o QuTS hero descargará e instalará la última actualización disponible
Si una dispositivo NAS ya fue comprometido por DEADBOLT, actualice a la versión del firmware recomendada y el eliminador de malware integrado pondrá en cuarentena la nota de secuestro.
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69