Des attaques par force brute contre les NAS de QNAP
Des NAS de QNAP font l'objet d'attaques par force brute depuis quelques jours, avec le risque de voir s'installer sur l'appareil un malware, doublé d'un ransomware qui chiffrera les fichiers et exigera de payer pour en récupérer l'accès.
Le fabricant taiwanais a publié une alerte de sécurité le 7 janvier dans laquelle il conseille urgemment à tous les utilisateurs d'utiliser le Conseiller de sécurité pour vérifier si leur NAS est accessible depuis l'extérieur. Et dans ce cas, de désactiver la redirection de port vers la box de l'opérateur ou le routeur utilisé. QNAP ne fournit pas plus d'explications sur les détails de ces tentatives d'intrusion.
Par ailleurs, depuis le début de l'année, QNAP a déjà distribué deux mises à jour firmware pour certains de ses produits, qui bouchent des failles de sécurité.
L'un de nos lecteurs, équipé d'un QNAP a pu observer des tentatives d'intrusion assez frénétiques sur son NAS depuis cette même date. Le problème résidait apparement dans un défaut de sécurité présent dans une mise à jour envoyée à la toute fin décembre et touchant le service de firewall du NAS. L'app pare-feu de son NAS était restée active par inadvertance après un test temporaire — il a un autre firewall en activité — et sa désactivation a fait cesser les assauts.
Cet utilisateur fustige au passage la manière dont le fabricant a communiqué à propos de l'attaque en cours. QNAP a envoyé un mail mais s'il vous a échappé c'est peut-être qu'il a filé directement dans les courriers indésirables… il a été émis au nom du service marketing de la société.
Des attaques par force brute chez Synology
J’ai eu des tentatives sur mon Syno aussi. Mais en bloquant toutes les IP hors France plus de problème.
@shaba
Merci pour le tips, j’avais oublié de le faire!Par contre synos autorise quw 15 blocages par règle, il y a une astuce ou bien vous êtes patient?
@Tankiste
Je ne suis pas sûr de comprendre mais en fait tu mets juste :IP France : autorisée et tu sélectionnes « quand ne correspond pas à la règle, bloquer l’accès » et en une règle c’est fait.
@shaba
Logique merci
En fait tu coches la case "si aucune règle n'est remplie refuser l'accès". Du coup il te suffit de n'autoriser que la france :) : https://ibb.co/vD2b5d1
@R5555
Merci pour le screen, par contre l’option pour bloquer quand non correspondant a disparu depuis la mise à jour de dsm
@Albator
Il n'y a pas de changement entre DSM6 et 7 pour les réglages du Pare-Feu.
L'option "si aucune règles n'est remplis" c'est uniquement pour les interfaces, pas pour "toutes les interfaces".
Sinon en dernier créer une règle Tous > Tous > Refuser.
@R5555
Merci de la photo, ou se trouve votre firewall? Sur votre box? Je ne vois pas cette option sur mon QNAP.
@Biking Dutch Man
Logique c’est une capture d’un Synology 😀
@shaba
Idem merci de me mettre la puce à l’oreille 👍
« L'un de nos lecteurs, équipé d'un QNAP a pu observer des tentatives d'intrusion assez frénétiques sur son NAS depuis cette même date. Alors même que son boitier est isolé de tout contact avec l'extérieur. »
Bizarre autant qu'étrange
Comment cela est-il possible ??
Ça veut dire quoi concrètement dans son cas « isolé de tout contact avec l'extérieur » ?
« Son pare-feu était resté actif par inadvertance, sa désactivation a fait cesser les asauts. »
Bizarre autant qu'étrange.
Activer un firewall causerait des problèmes de sécurité, le désactiver les règlerait ?
Ne serait-ce pas plutôt que si on désactive le firewall on ne voit plus les attaques ? Façon de balayer les problèmes sous le tapis ? (Ce qui ne serait pas vraiment une bonne idée AMHA.)
Ou alors il y a un truc qui m'échappe...
@marc_os
Ça m’a fait tilt aussi, je suppose que ça veut dire que le pare-feu était actif sans qu’il le sache.
@ shaba
Ben justement, si une sécurité est activée par défaut, ça ne devrait pas être considéré comme un problème, au contraire !
@marc_os
Sauf si justement c'est ce firewall qui contient la faille. Ça n'aurait rien d'extravagant.
@ Yohmi
> Sauf si justement c'est ce firewall qui contient la faille.
Certes.
Mais c'est vraiment très particulier : Je trouve pour le moins curieux de reprocher à quelqu'un ses mesures de sécurité.
Ce n'est pas comme de reprocher l'existence d'un bogue.
@marc_os
Ah les experts….
Oui, comme écrit, en stoppant l’app firewall the Qnap, les appels au site de bots se sont arrêtés.
L’update de l’app made in Qnap a été poussé via leur store le 26/12 et 10 jours plus tards les tentatives de connections ont commencé.
Avoir 2 firewall en cascades, qui y a-t-il de choquant? C’est interdit peut-être?
Il peut être utilisé pour configurer des règles d’accés du réseau local au NAS d’une manière plus simple et rapide que de passer par le firewall du routeur.
@ 0MiguelAnge0
Merci, j'avais compris après le commentaire de Yohmi.
T'arrives après la bataille mec.
Tu m'as l'air d'être un sacré expert aussi.
@marc_os
« il a un autre firewall en activité » donc habituellement il n’utilise pas celui du QNAP, il est stipulé que celui du QNAP était resté activé par erreur.
« Son pare-feu était resté actif par inadvertance, sa désactivation a fait cesser les assauts »
je comprends pas la logique
@ pakal
Comme dit plus haut, moi non plus.
@pakal
Sur mon ancien qnap, après installation du firewall pour tester, il était par défaut sur tout autoriser, donc ouvert à tous les ports… qnap avait rectifier par la suite avec une mise à jour sans trop en parler.
Plus leur mise à jour qui plantait, j’ai abandonné qnap.
@pakal
Tout est dans ce bout de phrase : « il a un autre firewall en activité »
Attention meme situation sur les Terramaster !
Voilà pourquoi mon NAS n’est pas connecté à internet
@laraigneegypsymontealagouttiere
Pareil, mais c'est vraiment dommage, y'a plein de fonctionnalités intéressantes, mais c'est trop risqué si on ne s'y connaît pas à fond 😔
@Yohmi
Je ne m’y connais pas assez en sécurité pour ouvrir la boîte de Pandore
Mais bon le NAS répond bien à mes besoins sans y avoir accès depuis hors de chez moi
@Yohmi
Je vous rejoins, j’utilise mon NAS qnap comme DAS TB3 pour l’instant, c’est un peu réducteur!
@laraigneegypsymontealagouttiere
Comme dit plus haut, il faut déjà n’autoriser que les IP françaises. Ça retire 99.9% des risques (plus aucune attaque répertoriée depuis que je l’ait fait sur mon syno alors que le NAS bloquait auparavant des 100aines de tentatives d’intrusions, pour la plupart venant d’ Asie).
Ensuite il ne faut ouvrir que les ports nécessaires.
Puis activer l’authentification double facteur
Je ne suis pas un expert mais avec ça on est déjà pas mal tranquille.
@vsi:
Perso, sur mon ancien Syno, j'avais simplement activé le "pas plus de 3 tentatives de connexion en 10 minutes"... En force brute ils vont mettre du temps ;)
@debione
"En force brute ils vont mettre du temps ;)"
En général ils changent d’ip toutes les 2 connexions donc ton système ne fonctionne pas.
Ensuite il ne faut ouvrir que les ports nécessaires.
Puis activer l’authentification double facteur
Je ne suis pas un expert mais avec ça on est déjà pas mal tranquille.
Mouais, si ta maison n'a qu'une seule porte d'entrée en carton avec une serrure à clé et une authentification biométrique tu te sens pas mal tranquille ?
@bibi81
J’ai 1 tentative de connexion ssh par mois en moyenne. Et l’IP correspondante est bloquée automatiquement. De plus mon mot de passe est très complexe et je fais des sauvegardes régulières. Donc si il est piraté, c’est pas grave.
Je n’ai pas de sauvegarde de mes montres ou de mes enceintes. Donc la comparaison avec la maison est un peu absurde.
mais si tu veux vraiment une réponse, non je ne me sentirais pas en sécurité avec une porte en carton biométrique.
@vsi
Visiblement t'as rien compris la complexité de ton mot de passe ne fait rien à l'affaire s'il s'agit dune faille dans les logiciels ou firmware du NAS.
@TheUMan
Mais pourquoi cette agressivité alors que je ne donne que mon avis. tu te prends pour qui ?
On parle de QNAP la non ??
Le jour où on parlera de Synology je m’inquièterai. D’ici là ça te laisse le temps de te calmer et de réviser 🙄 “attaque par force brut” c’est une attaque qui essaye de trouver ton mot de passe. Donc bien sûr que si il est complexe c’est mieux. Qu’en penses-tu ?
Sérieux les gars faut arrêter. Les gens normaux ne s’excitent pas pour si peu.
Bisous
@ vsi:
tu devrais faire comme 50% des gens mettre 1234 ou admin...
Je suis déjà dehors....
J’ai aussi remarqué plusieurs tentatives de connexion via le FTP de mon Qnap. Toutes rejetées (j’avais désactivé le compte admin + mis en place du double facteur). Depuis j’ai tout désactivé en accès externe sauf l’accès web et je n’ai plus reçu de tentatives. Mais vu le post ça ne suffit probablement pas… si une mise à jour de l’article peut être faite lorsque la situation sera réglée, ce serait un plus ! (On pourra ainsi ré-ouvrir nos accès !)
Ps : je n’ai pas vu comment filtrer l’ip que sur la France pour mon qnap. Si quun à l’astuce… je prends volontiers 😜 !