Synology met en garde contre les logiciels malveillants infectant les NAS

0

Synology, le fabricant de NAS basé à Taïwan, a averti ses clients que le botnet StealthWorker cible leurs périphériques de stockage connectés au réseau dans des attaques par force brute en cours qui conduisent à des infections de ransomware.

Selon l’équipe de réponse aux incidents de sécurité des produits de Synology, les périphériques NAS de Synology compromis dans ces attaques sont ensuite utilisés dans d’autres tentatives de piratage d’un plus grand nombre de systèmes Linux.

« Ces attaques exploitent un certain nombre d’appareils déjà infectés pour essayer de deviner les informations d’identification administratives courantes et, en cas de succès, accéderont au système pour installer leur charge utile malveillante, qui peut inclure un ransomware », a déclaré Synology dans un avis de sécurité.

« Les appareils infectés peuvent mener des attaques supplémentaires sur d’autres appareils basés sur Linux, y compris le NAS de Synology. »

La société se coordonne avec plusieurs organisations CERT dans le monde pour supprimer l’infrastructure du botnet en fermant tous les serveurs de commande et de contrôle (C2) détectés.

Synology s’efforce d’informer tous les clients potentiellement concernés de ces attaques en cours ciblant leurs périphériques NAS.

Comment se défendre contre ces attaques?

Le fabricant de NAS recommande à tous les administrateurs système et les clients de modifier les informations d’identification administratives faibles sur leurs systèmes, d’activer la protection des comptes et le blocage automatique, et de configurer l’authentification multi-facteur dans la mesure du possible.

Synology émet rarement des avis de sécurité avertissant des attaques actives contre ses clients. La dernière alerte concernant les infections par ransomware suite à des attaques par force brute à grande échelle réussies a été publiée en Juillet 2019.

La société a conseillé aux utilisateurs de suivre la liste de contrôle suivante pour défendre leurs appareils NAS contre les attaques:

  • Utilisez un mot de passe complexe et fort et appliquez des règles de force de mot de passe à tous les utilisateurs.
  • Créez un nouveau compte dans le groupe administrateur et désactivez le compte « admin » par défaut du système.
  • Activez le blocage automatique dans le panneau de configuration pour bloquer les adresses IP avec trop de tentatives de connexion infructueuses.
  • Exécutez Security Advisor pour vous assurer qu’il n’y a pas de mot de passe faible dans le système.

« Pour assurer la sécurité de votre NAS Synology, nous vous recommandons fortement d’activer le pare-feu dans le Panneau de configuration et d’autoriser uniquement les ports publics pour les services lorsque cela est nécessaire, et d’activer la vérification en 2 étapes pour empêcher les tentatives de connexion non autorisées », a ajouté la société.

« Vous pouvez également activer Snapshot pour protéger votre NAS contre les ransomwares. »

Synology fournit plus d’informations sur la défense de votre appareil NAS contre les infections par ransomware ici.

Malware de force brute ciblant les machines Windows et Linux

Bien que Synology n’ait pas partagé plus d’informations sur les logiciels malveillants utilisés dans cette campagne, les détails partagés correspondent à un forceur brut écrit en Golang découvert par Malwarebytes fin février 2019 et surnommé StealthWorker.

Il y a deux ans, StealthWorker a été utilisé pour compromettre les sites Web de commerce électronique en exploitant les vulnérabilités de Magento, phpMyAdmin et cPanel pour déployer des skimmers conçus pour exfiltrer les informations de paiement et les informations personnelles.

Cependant, comme Malwarebytes l’a noté à l’époque, le malware a également des capacités de force brute qui lui permettent de se connecter à des appareils exposés à Internet à l’aide de mots de passe générés sur place ou à partir de listes d’informations d’identification précédemment compromises.

À partir de Mars 2019, les opérateurs StealthWorker sont passés à une approche de force brute uniquement en analysant Internet à la recherche d’hôtes vulnérables avec des informations d’identification faibles ou par défaut.

Une fois déployé sur une machine compromise, le malware crée des tâches planifiées sur Windows et Linux pour gagner en persistance et déploie des charges utiles de malware de deuxième étape, y compris des ransomwares.

Bien que le fabricant de NAS n’ait pas émis d’avis de sécurité, les clients ont signalé en janvier que leurs appareils étaient infectés par le malware de cryptojacking de Bitcoin nommé Dovecat [1, 2] à partir de novembre 2020, dans une campagne qui ciblait également les appareils NAS de la marque QNAP.

Un porte-parole de Synology a fait la déclaration suivante:

Nous avons initialement pris connaissance de cette attaque à la fin du mois de juillet. Au cours des 2-3 semaines qui ont suivi, nous avons reçu moins de 50 rapports de nos clients. Compte tenu du nombre d’appareils Synology disponibles (plus de 8 millions de déploiements actifs), nous pensons que le nombre d’appareils exposés à cette attaque est très faible. Notre équipe a également constaté un ralentissement de ces attaques ces derniers jours.

À ce stade, nous enquêtons toujours activement sur cette attaque de malware et les scripts utilisés. Actuellement, nous pensons que le botnet s’engage dans le forçage brutal du compte « admin » en utilisant des combinaisons de mots de passe courantes. Pour le moment, nous n’avons pas vu le malware essayer de cibler d’autres comptes d’utilisateurs.

Comme mentionné précédemment, nos clients ont signalé cette attaque pour la première fois fin juillet. Depuis, nous avons envoyé une notification aux clients concernés et une notification supplémentaire à tous les utilisateurs de Synology les informant de nos meilleures pratiques et conseils sur la façon de sécuriser leur NAS.

Laisser un commentaire