Cybercriminelen infecteren al enkele weken NAS-systemen van Zyxel met ransomware via een zeroday-kwetsbaarheid. Via dit lek kunnen aanvallers zonder inloggegevens commando’s op het NAS-systeem uitvoeren.
Een aanvaller hoeft slechts een speciaal geprepareerd HTTP POST- of GET-verzoek te versturen. Daarvoor is wel directe toegang tot het apparaat nodig. Er kunnen echter ook kwaadaardige requests uitgevoerd worden zonder directe toegang. Het bezoeken van een website kan al leiden tot een infectie van een NAS-systeem. Hiervoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
Geen updates voor oude modellen
De ernst van de kwetsbaarheid is met een 10 beoordeeld (op een schaal van 1 tot en met 10). ZyXEL heeft updates uitgebracht voor de modellen NAS326, NAS520, NAS540 en NAS542. Voor modellen die niet meer worden ondersteund, wordt geen patch uitgebracht. Het gaat om NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 en NSA325v2. Gebruikers van deze apparatuur kunnen de toegang tot de webinterface blokkeren of het apparaat niet direct met internet verbinden.
Alertheid bij updaten
Het CERT/CC adviseert gebruikers om alert te zijn bij het updaten van hun NAS. Het Zyxel-upgradeproces gebruikt het onveilige FTP om updates te downloaden. De bestanden worden slechts met een checksum gecontroleerd in plaats van met een digitale handtekening. Cybercriminelen die controle over de DNS- of IP-routing van het slachtoffer hebben, kunnen op deze manier malafide firmware op de NAS installeren.
Klik hier voor de waarschuwing van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.