Dispositivi di rete QNAP presi di mira dal nuovo malware Dovecat

QNAP, un fornitore di hardware con sede a Taiwan, ha pubblicato un avviso di sicurezza su una nuova minaccia malware. Il malware denominato Dovecat sta prendendo di mira attivamente i dispositivi NAS (Network-Attached Storage). Utilizza le risorse locali dei sistemi infetti per minare criptovaluta all’insaputa degli utenti.

Cos’è successo?

L’avviso di sicurezza è stato rilasciato dopo che la società ha iniziato a ricevere segnalazioni dai suoi utenti, lo scorso anno, riguardanti due processi sconosciuti (dovecat e dedpma). Entrambi i processi consumavano la memoria del dispositivo e funzionavano senza interruzioni per estrarre la criptovaluta, successivamente identificati come Dovecat.

  • Il malware può infettare i sistemi Linux. Tuttavia, è stato creato specificamente per indirizzare la struttura interna dei dispositivi QNAP NAS. Si propaga mirando a password deboli.
  • Il malware utilizza il nome del processo dovecat per un certo motivo. Prova a passare i controlli di sicurezza come Dovecot, un demone di posta elettronica valido fornito con il firmware QNAP e presente in diverse distribuzioni Linux.
  • Inoltre, è stato segnalato che lo stesso malware prendeva di mira gli utenti dei dispositivi Synology NAS, dove è riuscito a funzionare senza problemi.
  • La campagna malware era in corso da almeno tre mesi e molti dispositivi NAS sono stati infettati e lasciati inutilizzabili a causa del miner di Bitcoin che utilizzava quasi tutte le risorse di CPU e memoria.

Incidenti recenti 

  • Recentemente, un malware denominato VPNFilter ha infettato centinaia di reti, tra cui QNAP, TP-Link e Ubiquiti.
  • Il mese scorso, il team di sicurezza di QNAP ha  rilasciato aggiornamenti per correggere varie vulnerabilità critiche nei dispositivi NAS.

Conclusioni

Negli ultimi due mesi, i dispositivi QNAP sono stati costantemente attaccati da ransomware che sfruttano vulnerabilità prive di patch. Pertanto, gli esperti suggeriscono di aggiornare QTS alla versione più recente, utilizzando un firewall e password di amministratore complesse, disabilitando i servizi SSH / Telnet se non in uso ed evitare di utilizzare i numeri di porta predefiniti.