Des attaques par force brute contre les NAS de QNAP

Florian Innocente |

Des NAS de QNAP font l'objet d'attaques par force brute depuis quelques jours, avec le risque de voir s'installer sur l'appareil un malware, doublé d'un ransomware qui chiffrera les fichiers et exigera de payer pour en récupérer l'accès.

Le fabricant taiwanais a publié une alerte de sécurité le 7 janvier dans laquelle il conseille urgemment à tous les utilisateurs d'utiliser le Conseiller de sécurité pour vérifier si leur NAS est accessible depuis l'extérieur. Et dans ce cas, de désactiver la redirection de port vers la box de l'opérateur ou le routeur utilisé. QNAP ne fournit pas plus d'explications sur les détails de ces tentatives d'intrusion.

Par ailleurs, depuis le début de l'année, QNAP a déjà distribué deux mises à jour firmware pour certains de ses produits, qui bouchent des failles de sécurité.

L'un de nos lecteurs, équipé d'un QNAP a pu observer des tentatives d'intrusion assez frénétiques sur son NAS depuis cette même date. Le problème résidait apparement dans un défaut de sécurité présent dans une mise à jour envoyée à la toute fin décembre et touchant le service de firewall du NAS. L'app pare-feu de son NAS était restée active par inadvertance après un test temporaire — il a un autre firewall en activité — et sa désactivation a fait cesser les assauts.

Cet utilisateur fustige au passage la manière dont le fabricant a communiqué à propos de l'attaque en cours. QNAP a envoyé un mail mais s'il vous a échappé c'est peut-être qu'il a filé directement dans les courriers indésirables… il a été émis au nom du service marketing de la société.

Des attaques par force brute chez Synology

Des attaques par force brute chez Synology


Source
Merci Miguel
Tags
avatar shaba | 

J’ai eu des tentatives sur mon Syno aussi. Mais en bloquant toutes les IP hors France plus de problème.

avatar Tankiste | 

@shaba

Merci pour le tips, j’avais oublié de le faire!Par contre synos autorise quw 15 blocages par règle, il y a une astuce ou bien vous êtes patient?

avatar shaba | 

@Tankiste

Je ne suis pas sûr de comprendre mais en fait tu mets juste :IP France : autorisée et tu sélectionnes « quand ne correspond pas à la règle, bloquer l’accès » et en une règle c’est fait.

avatar Tankiste | 

@shaba

Logique merci

avatar R5555 | 

En fait tu coches la case "si aucune règle n'est remplie refuser l'accès". Du coup il te suffit de n'autoriser que la france :) : https://ibb.co/vD2b5d1

avatar Tankiste | 

@R5555

Merci pour le screen, par contre l’option pour bloquer quand non correspondant a disparu depuis la mise à jour de dsm

avatar maxou56 | 

@Albator
Il n'y a pas de changement entre DSM6 et 7 pour les réglages du Pare-Feu.
L'option "si aucune règles n'est remplis" c'est uniquement pour les interfaces, pas pour "toutes les interfaces".

Sinon en dernier créer une règle Tous > Tous > Refuser.

avatar Biking Dutch Man | 

@R5555

Merci de la photo, ou se trouve votre firewall? Sur votre box? Je ne vois pas cette option sur mon QNAP.

avatar shaba | 

@Biking Dutch Man

Logique c’est une capture d’un Synology 😀

avatar ingmar92110 | 

@shaba

Idem merci de me mettre la puce à l’oreille 👍

avatar marc_os | 

« L'un de nos lecteurs, équipé d'un QNAP a pu observer des tentatives d'intrusion assez frénétiques sur son NAS depuis cette même date. Alors même que son boitier est isolé de tout contact avec l'extérieur. »

Bizarre autant qu'étrange
Comment cela est-il possible ??
Ça veut dire quoi concrètement dans son cas « isolé de tout contact avec l'extérieur » ?

« Son pare-feu était resté actif par inadvertance, sa désactivation a fait cesser les asauts. »

Bizarre autant qu'étrange.
Activer un firewall causerait des problèmes de sécurité, le désactiver les règlerait ?
Ne serait-ce pas plutôt que si on désactive le firewall on ne voit plus les attaques ? Façon de balayer les problèmes sous le tapis ? (Ce qui ne serait pas vraiment une bonne idée AMHA.)
Ou alors il y a un truc qui m'échappe...

avatar shaba | 

@marc_os

Ça m’a fait tilt aussi, je suppose que ça veut dire que le pare-feu était actif sans qu’il le sache.

avatar Florian Innocente | 
Il avait activé l'app de firewall de QNAP en plus de son firewall habituel pour tester un produit en particulier et oublié de désactiver ce service. Et c'est dans celui-ci qu'il y avait apparement un défaut de sécurité.
avatar marc_os | 

@ shaba

Ben justement, si une sécurité est activée par défaut, ça ne devrait pas être considéré comme un problème, au contraire !

avatar Yohmi | 

@marc_os
Sauf si justement c'est ce firewall qui contient la faille. Ça n'aurait rien d'extravagant.

avatar marc_os | 

@ Yohmi

> Sauf si justement c'est ce firewall qui contient la faille.

Certes.
Mais c'est vraiment très particulier : Je trouve pour le moins curieux de reprocher à quelqu'un ses mesures de sécurité.
Ce n'est pas comme de reprocher l'existence d'un bogue.

avatar 0MiguelAnge0 | 

@marc_os

Ah les experts….

Oui, comme écrit, en stoppant l’app firewall the Qnap, les appels au site de bots se sont arrêtés.

L’update de l’app made in Qnap a été poussé via leur store le 26/12 et 10 jours plus tards les tentatives de connections ont commencé.

Avoir 2 firewall en cascades, qui y a-t-il de choquant? C’est interdit peut-être?
Il peut être utilisé pour configurer des règles d’accés du réseau local au NAS d’une manière plus simple et rapide que de passer par le firewall du routeur.

avatar marc_os | 

@ 0MiguelAnge0

Merci, j'avais compris après le commentaire de Yohmi.
T'arrives après la bataille mec.
Tu m'as l'air d'être un sacré expert aussi.

avatar MGA | 

@marc_os

«  il a un autre firewall en activité » donc habituellement il n’utilise pas celui du QNAP, il est stipulé que celui du QNAP était resté activé par erreur.

avatar pakal | 

« Son pare-feu était resté actif par inadvertance, sa désactivation a fait cesser les assauts »

je comprends pas la logique

avatar marc_os | 

@ pakal

Comme dit plus haut, moi non plus.

avatar kaizo33 | 

@pakal

Sur mon ancien qnap, après installation du firewall pour tester, il était par défaut sur tout autoriser, donc ouvert à tous les ports… qnap avait rectifier par la suite avec une mise à jour sans trop en parler.
Plus leur mise à jour qui plantait, j’ai abandonné qnap.

avatar MGA | 

@pakal

Tout est dans ce bout de phrase : «  il a un autre firewall en activité »

avatar B. Bro | 

Attention meme situation sur les Terramaster !

avatar laraigneegypsymontealagouttiere | 

Voilà pourquoi mon NAS n’est pas connecté à internet

avatar Yohmi | 

@laraigneegypsymontealagouttiere
Pareil, mais c'est vraiment dommage, y'a plein de fonctionnalités intéressantes, mais c'est trop risqué si on ne s'y connaît pas à fond 😔

avatar laraigneegypsymontealagouttiere | 

@Yohmi

Je ne m’y connais pas assez en sécurité pour ouvrir la boîte de Pandore
Mais bon le NAS répond bien à mes besoins sans y avoir accès depuis hors de chez moi

avatar Biking Dutch Man | 

@Yohmi

Je vous rejoins, j’utilise mon NAS qnap comme DAS TB3 pour l’instant, c’est un peu réducteur!

avatar vsi | 

@laraigneegypsymontealagouttiere

Comme dit plus haut, il faut déjà n’autoriser que les IP françaises. Ça retire 99.9% des risques (plus aucune attaque répertoriée depuis que je l’ait fait sur mon syno alors que le NAS bloquait auparavant des 100aines de tentatives d’intrusions, pour la plupart venant d’ Asie).
Ensuite il ne faut ouvrir que les ports nécessaires.
Puis activer l’authentification double facteur

Je ne suis pas un expert mais avec ça on est déjà pas mal tranquille.

avatar debione | 

@vsi:
Perso, sur mon ancien Syno, j'avais simplement activé le "pas plus de 3 tentatives de connexion en 10 minutes"... En force brute ils vont mettre du temps ;)

avatar MarcMame | 

@debione

"En force brute ils vont mettre du temps ;)"

En général ils changent d’ip toutes les 2 connexions donc ton système ne fonctionne pas.

avatar bibi81 | 

Ensuite il ne faut ouvrir que les ports nécessaires.
Puis activer l’authentification double facteur

Je ne suis pas un expert mais avec ça on est déjà pas mal tranquille.

Mouais, si ta maison n'a qu'une seule porte d'entrée en carton avec une serrure à clé et une authentification biométrique tu te sens pas mal tranquille ?

avatar vsi | 

@bibi81
J’ai 1 tentative de connexion ssh par mois en moyenne. Et l’IP correspondante est bloquée automatiquement. De plus mon mot de passe est très complexe et je fais des sauvegardes régulières. Donc si il est piraté, c’est pas grave.

Je n’ai pas de sauvegarde de mes montres ou de mes enceintes. Donc la comparaison avec la maison est un peu absurde.

mais si tu veux vraiment une réponse, non je ne me sentirais pas en sécurité avec une porte en carton biométrique.

avatar TheUMan | 

@vsi
Visiblement t'as rien compris la complexité de ton mot de passe ne fait rien à l'affaire s'il s'agit dune faille dans les logiciels ou firmware du NAS.

avatar vsi | 

@TheUMan

Mais pourquoi cette agressivité alors que je ne donne que mon avis. tu te prends pour qui ?
On parle de QNAP la non ??

Le jour où on parlera de Synology je m’inquièterai. D’ici là ça te laisse le temps de te calmer et de réviser 🙄 “attaque par force brut” c’est une attaque qui essaye de trouver ton mot de passe. Donc bien sûr que si il est complexe c’est mieux. Qu’en penses-tu ?

Sérieux les gars faut arrêter. Les gens normaux ne s’excitent pas pour si peu.

Bisous

avatar debione | 

@ vsi:

tu devrais faire comme 50% des gens mettre 1234 ou admin...

Je suis déjà dehors....

avatar crivol | 

J’ai aussi remarqué plusieurs tentatives de connexion via le FTP de mon Qnap. Toutes rejetées (j’avais désactivé le compte admin + mis en place du double facteur). Depuis j’ai tout désactivé en accès externe sauf l’accès web et je n’ai plus reçu de tentatives. Mais vu le post ça ne suffit probablement pas… si une mise à jour de l’article peut être faite lorsque la situation sera réglée, ce serait un plus ! (On pourra ainsi ré-ouvrir nos accès !)
Ps : je n’ai pas vu comment filtrer l’ip que sur la France pour mon qnap. Si quun à l’astuce… je prends volontiers 😜 !

CONNEXION UTILISATEUR