QNAP patch plusieurs failles et supprime la porte dérobée dans son NAS

0

QNAP a adressé une vulnérabilité critique qui permet aux attaquants de se connecter aux périphériques NAS de QNAP à l’aide d’informations d’identification codées en dur.

La vulnérabilité des informations d’identification codées en dur identifiée sous le nom de CVE-2021-28799 a été découverte par ZUSO ART dans HBS 3 Hybrid Backup Sync, la solution de récupération et de sauvegarde de données de l’entreprise.

La société a déclaré que le bogue de sécurité est déjà corrigé dans les versions HBS suivantes et conseille aux clients de mettre à jour le logiciel avec la dernière version déployée:

  • QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 et versions plus récentes
  • QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 et versions plus récentes
  • QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 et versions plus récentes
  • QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 et versions plus récentes

Pour mettre à jour HBS sur votre appareil NAS, vous devez vous connecter à ‘QTS’ ou ‘QuTS hero’ en tant qu’administrateur. Ensuite, recherchez « HBS 3 Hybrid Backup Sync » dans App Center, puis cliquez sur ‘Mise à jour’ et ‘OK’ pour mettre à jour l’application (l’option Mise à jour n’est pas disponible si HBS est déjà à jour.)

Alors que QNAP a déclaré avoir corrigé la faille CVE-2021-28799 le 22 Avril, les notes de sortie de l’application pour la version 16.0.0415 indiquent que la faille a été corrigé le 16 avril.

Un porte-parole de QNAP a déclaré que le délai de divulgation a été causé par le temps supplémentaire nécessaire pour faire sortir des correctifs pour les versions QuTS hero et QuTScloud HBS (la mise à jour de sécurité de QTS a été déployée le 16 Avril).

QNAP a également ajouté que son équipe de réponse aux incidents n’a pas trouvé de preuve d’exploitation active de cette vulnérabilité dans la nature.

Le même jour, QNAP a corrigé deux autres vulnérabilités d’injection de commande dans HBS, ainsi que deux autres vulnérabilités critiques, un bogue d’injection de commande dans QTS et QuTS hero (CVE-2020-2509) et une vulnérabilité d’injection SQL dans la console multimédia et Media Streaming Add-on (CVE-2020-36195), qui pourrait permettre aux attaquants d’accéder pleinement aux appareils NAS.

Une campagne du ransomware Qlocker cible les utilisateurs de QNAP

Les bogues de sécurité critiques tels que ceux-ci permettent aux pirates informatique de prendre le contrôle des appareils NAS et, dans certains cas, de déployer des ransomwares pour chiffrer les fichiers des utilisateurs et demander des rançons énormes pour un déchiffreur.

Les pirates informatique sont également connus pour prendre le contrôle des appareils NAS et les utiliser comme connexion proxy pour interagir avec les webshells qu’ils ont placés sur ces appareils et cacher leur activité malveillante dans le trafic de travail à distance régulier, selon CISA.

QNAP pense qu’une nouvelle souche de ransomware connu sous le nom de Qlocker exploite la vulnérabilité d’injection SQL (CVE-2020-36195) pour chiffrer les données sur les appareils vulnérables.

C’est précisément ce qui s’est passé depuis au moins le 19 avril, lorsque les attaquants à l’origine d’une campagne massive déployant une nouvelle souche de ransomware connue sous le nom de Qlocker ont commencé à déplacer les fichiers des clients QNAP dans des archives 7zip protégées par un mot de passe et demander des rançons.

QNAP a ensuite confirmé que le ransomware Qlocker a utilisé un compte de porte dérobée supprimé pour pirater les appareils NAS de certains clients et crypter leurs fichiers.

qnap qlocker

Les appareils de QNAP ont déjà été ciblés par des ransomwares dans le passé

Qlocker n’est pas le premier ransomware à cibler les appareils QNAP, étant donné qu’ils sont couramment utilisés pour stocker des fichiers personnels sensibles et sont donc parfaits pour forcer les victimes à payer une rançon pour déchiffrer leurs données.

En Juin 2020, QNAP a mis en garde contre les attaques du ransomware eCh0raix ciblant les failles de sécurité de l’application Photo Station.

eCh0raix (alias QNAPCrypt) a refait surface un an plus tard, essayant d’accéder aux périphériques QNAP en exploitant les vulnérabilités connues et en lançant des attaques de force brute sur les comptes qui ont des mots de passe faibles.

QNAP a également alerté les clients en Septembre 2020 lorsqu’une campagne du ransomware AgeLocker ciblait les appareils NAS exposés publiquement en exploitant les versions plus anciennes et vulnérables de Photo Station.

Il est conseillé aux clients QNAP de passer par la procédure suivante pour sécuriser leurs appareils NAS et vérifier la présence de logiciels malveillants :

  • Modifier tous les mots de passe pour tous les comptes de l’appareil
  • Supprimer les comptes d’utilisateurs inconnus de l’appareil
  • Assurez-vous que le firmware de l’appareil est à jour, et que toutes les applications sont également mises à jour
  • Supprimer les applications inconnues ou inutilisées de l’appareil
  • Installez l’application MalwareRemover de QNAP via la fonctionnalité App Center
  • Définir une liste de contrôle d’accès pour l’appareil (panneau de contrôle -> sécurité -> niveau de sécurité)
Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.