Deadbolt : les NAS QNAP peuvent être la cible d’un ransomware, déconnectez-les d’Internet
Le 27 janvier 2022 à 09h11
2 min
Sciences et espace
Sciences
Face à Deadbolt, le fabricant a publié un bulletin de sécurité, avec un message sans ambiguïté : « Prenez des mesures immédiates pour empêcher votre NAS de s’exposer à Internet et luttez contre les ransomwares ». Détail étonnant, un message du même acabit – simplement sans mention de Deadbolt – a été publié il y a trois semaines.
Il semblerait qu’une faille (de type 0-Day) soit exploitée par des pirates pour accéder aux données du NAS, les chiffrer et demander une rançon de 0,03 bitcoin au propriétaire. Il n’y a évidemment aucune garantie de récupérer vos données. Les pirates proposent aussi à QNAP d’acheter – pour 50 bitcoins – une clé « maître » pour déverrouiller l’ensemble des NAS.
QNAP explique à BleepingComputer que l’accès à la page d’admin du NAS peut être récupérée via une URL de ce type : http://nas_ip:8080/cgi-bin/index.cgi ou https://nas_ip/cgi-bin/index.cgi.
Nos confrères ajoutent que les équipes du fabricant sont évidemment sur la brèche. Comme toujours en pareille situation, il est urgent d’agir avant qu’il ne soit trop tard. Les manipulations sont détaillées ici.
Le 27 janvier 2022 à 09h11
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/01/2022 à 10h21
Bon ben je suis concerné.
Bizarrement je n’avais pas vu cette info passer…
QNAP ne dit pas vraiment que faire si on est hacké…
Le 27/01/2022 à 10h24
Mon nas qnap n’est plus accessible depuis l’extérieur, mais il l’a été pendant un peu moins d’un mois, lorsque j’ai changé de box (coax -> fibre) avant que je me rende compte que upnp était actif par défaut et exposait donc mon nas sur internet… (Les tentatives de connexion n’ont pas tardé !)
Le 27/01/2022 à 10h28
Faut être joueur pour exposer sur internet les interfaces d’administration (8080,443) de son NAS.
Idem pour le forwarding UPnP. D’ailleurs je ne vois pas trop de cas d’utilisation de cette fonction sur un NAS ?
Le 27/01/2022 à 10h53
Si j’ai bien lu, c’est pour permettre de sauvegarder des données sans être connecté en LAN (un peu à la façon d’un google drive).
https://support.myqnapcloud.com/features?lang=fr
(on appréciera la partie sur la sécurité :p )
Je pense que je l’avais activé pour tester l’hébergement d’un mini site sur le NAS (mais je ne sais plus si je devais activer tous les ports ou si je pouvais me limiter)
Le 27/01/2022 à 11h27
Effectivement c’est “myQNAPcloud”.
Encore un truc génial pour “simplifier” la configuration… comprenez par là que vous créez un SPOF au nom de la simplicité.
Le 27/01/2022 à 12h46
J’ai débranché le NAS du réseau mais sachant que je suis infecté, est-il conseillé d’éteindre le NAS si les fichiers sont en train d’être chiffrés ? Ou est-ce que cela peut être pire ?
Le 27/01/2022 à 14h16
Le mieux est de ne pas l’éteindre.
Dans le mail que j’ai reçu, il indique de contacter le support : “If your NAS login page is hacked, please try to add “/cgi-bin/index.cgi” to the NAS login URL (e.g. http://nas_ip
080/cgi-bin/index.cgi), and you should log in accordingly. Please contact QNAP Technical Support for further assistance at https://service.qnap.com/ .“.
Le 27/01/2022 à 15h42
Etant en possession d’un NAS de cette marque, ce ransomware me fait me poser quelques questions quand à l’accessibilité de celui-ci.
Qu’est-ce que vous appeler ne pas exposer sur internet ? Est-ce le fait que les ports d’accès aux interfaces soient bloquées (via le routeur) ? Ou bien le fait d’avoir des ports modifié et avec une nombre non-standard, donc assez élevé (au dessus de 20000) est suffisant ?
Aussi, est-ce que d’autres services (FTP, serveur web, …) sont à isoler aussi d’internet ?
En tout cas la news m’a permis de me faire découvrir le logiciel “Security Counselor” sur le NAS, que je ne connaissait pas. Il n’existait pas quand j’ai acquis ce NAS, et n’ai pas remarqué sa mise en place.
Le 27/01/2022 à 16h12
C’est à dire que je suis de la vieille école: tout est bloqué par défaut et j’ouvre seulement les ports des services que je veux rendre visible (FTP, …) sur le routeur.
Je n’ouvre jamais tous les ports (“*”) vers une IP. Ou alors c’est une DMZ, mais c’est une autre histoire.
Mettre des ports non-standards protège des attaques de masse (genre un bot qui arrose internet à a la recherche d’un port 8080⁄443 ouvert). Ca ne protège pas d’une attaque ciblée contre le routeur (=port-scan).
Donc c’est a vous de voir (d’après les logs du routeur) si vous vous prenez souvent des port-scan. :)
Le 27/01/2022 à 16h21
Exactement. Il faut tout bloquer par défaut, et n’autoriser que ce qui est absolument nécessaire. Et en aucun cas exposer l’interface d’administration sur le web…
Pour accéder à l’admin à distance, il vaut mieux mettre en place un accès VPN vers le LAN (et encore, vraiment que si c’est nécessaire)
Le 27/01/2022 à 16h34
Merci pour la confirmation.
Je n’ai que FTP qui est ouvert sur le routeur, j’avais mis des ports exotiques pour éviter la réussite des scans, et je n’ai aucune trace de scans depuis plusieurs années, alors que quand je l’ai installé initialement il était régulièrement scanné.
Le 28/01/2022 à 13h46
J’espère que ce n’est pas du FTP mais plutôt du ftps ou du sftp