Qnap : une nouvelle attaque par ransomware cible les NAS

Anthony Nelzin-Santos |

Après une première vague au début de l’année, puis une deuxième au printemps, les NAS de Qnap sont victimes de nouvelles attaques avec le rançongiciel Deadbolt. Les malandrins exploitent une faille pour chiffrer les fichiers des systèmes de stockage, et ne rendent l’accès qu’après le paiement d’une rançon, généralement en cryptomonnaies.

Qnap TS-453BT3. Image Qnap.

Qnap assure que « la plupart » des modèles concernés sont issus des séries TS-x51 et TS-x53, qui s’adressent aux « amateurs éclairés » comme aux petites entreprises, et forment le cœur de la gamme du fabricant taïwanais. Les attaques visent particulièrement les versions 4.3.6 et 4.4.1 de QTS.

Autrement dit : les récentes mises à jour du système d’exploitation de Qnap, qui sont censées avoir comblé une palanquée de failles, restent vulnérables. Le fabricant taïwanais appelle logiquement à installer la dernière version de QTS, et limiter la connexion des NAS à internet, ce qui limite sévèrement leur intérêt.

Les NAS sont devenus des cibles de choix, puisqu’ils comportent des fichiers personnels, mais des protections moins sophistiquées que celles des systèmes de stockage dans le nuage. Le principal concurrent de Qnap, Synology, a souffert d’attaques similaires ces derniers mois.

avatar Adodane | 

Aucune info sur le type d'attaque ? Force brute ? Ssh ?

avatar AceCarabin | 

Je comprends plutôt que ceux qui ont mis à jour vers QTS 5.0 ne sont pas concernés, ce qui me rassurerait, mon TS 253 Pro ayant pu être mis à jour…

avatar 0MiguelAnge0 | 

@AceCarabin

Oui pas clair l’article… Je comprends pareil que toi.

Pour en revenir à la fin de l’article, ce n’est pas que les NAS: il faut éviter de connecter des bidules avant le firewall. Ce n’est le cas pour aucun de mes bidules et ils restent pourtant accessibles quand j’en ai besoin et où que je sois.

Pour revenir à QNAP ils ont voulu vulgariser à l’extrême l’accessibilité du NAS en dehors de chez soi pour n’importe quel utilisateur en proposant de configurer le modem: une vrai cata en terme de sécurité. Je les avais questionnés avant les attaques sur la pertinence de leurs choix que je trouvais dangeureux. Leurs réponses marketing m’a encore moins convaincu.

Bref, je suis resté à l’écart de leurs configs bancales…

avatar trouaz | 

Ensuite il y a certaines choses assez simples à faire:
- ne pas utiliser les ports par défaut pour ses services,
- ne pas publier la disponibilité de ses services (ce qui oblige de configurer l'accès aux services en question à la main la première fois qu'on les utilises sur une machine donnée, mais c'est pas trop contraignant)
- exclure toutes les IP provenant d'origines géographiques dont vous n'aurez jamais besoins dans votre firewall (quand je vois le nombre de chinois qui veulent se connecter à mon NAS :) ).

Avec ça vous aurez bien moins de problèmes.

avatar bonnepoire | 

- ne pas utiliser les ports par défaut pour ses services
Ca ne change rien, un scan et c'est réglé.

avatar trouaz | 

@bonnepoire
Les hackers qui s'attaquent aux entreprises vont probablement faire un effort, mais pour ce qui est du vulgum pecus je ne sais pas s'il vont aller aussi loin que de s'embêter à faire un port scan et d'essayer de trouver quel port il faut attaquer en conséquence.
Ce qui ne veut pas dire que cela n'arrivera jamais, mais réduire la surface d'attaque c'est toujours mieux que de ne rien faire.

De plus si on met en place un ban après quelques tentatives de connexions infructueuses.

avatar Sometime | 

@trouaz

bof, il suffit d’utiliser des sites qui ont pignon sur rue pour trouver assez vite et facilement. Et je ne parle donc pas de sites douteux.

avatar tupui | 

@bonnepoire

Si on a un bon routeur devant, un port scan se bloque facilement. Tout ça ne sert pas à grand chose pour une attaque ciblée mais pour les attaques automatiques ça fait le taf.

avatar Sanid35 | 

Quelle bande d’aigrefins ces bandits que dis-je brigand doublés de canailles détrousseurs et forbans, de vrais malfaiteurs scélérats et truands.

avatar smog | 

Malandrins ? Ça s'applique à eux aussi ? ;-)

CONNEXION UTILISATEUR