Alerte QNAP : attaques en cours… suite et fin ?

La semaine dernière, nous vous alertions sur des attaques par force brute et des ransomwares. Des personnes malintentionnées ciblaient les NAS QNAP accessibles depuis Internet. Le fabricant a fourni plusieurs correctifs pour endiguer l’attaque, mais à ce jour, il ne précise pas si les mises à jour stoppent ces assaillants.

Attaques

Souvenez-vous, c’était il y a tout juste une semaine… Nous vous alertions sur le fait qu’une attaque massive ciblait les utilisateurs de NAS QNAP. Le fabricant conseillait tout simplement de désactiver son accessibilité à Internet. Un mail avait été rapidement envoyé à tous les utilisateurs enregistrés chez QNAP. Problème, nombreux sont ceux qui ne l’auront pas reçu (mail en anglais et marqué comme SPAM par certains fournisseurs).

QLocker

Nous avons été alertés sur le Forum des NAS et sur les réseaux sociaux. Si certains ne disposaient pas d’une version récente du logiciel interne pour leur NAS (QTS ou QuTS), d’autres possédaient la dernière version en date. Pour tous, leurs fichiers avaient été chiffrés avec une extension 7z. Un fichier TXT demandait une rançon (en bitcoin) afin d’obtenir la clé pour déchiffrer et récupérer leurs fichiers. Tout porte à croire qu’il s’agit (encore une fois) de QLocker. Plusieurs procédures et outils existent afin de récupérer ses fichiers (sans payer la rançon), mais sans garantie et après plusieurs heures de travail.

Mises à jour QNAP

QNAP vient de sortir plusieurs mises à jour. Tout d’abord, voici la première recommandation du fabricant de NAS, c’est d’installer la dernière version de QTS ou QuTS hero :

  • QTS 5.0.0.1891 build 20211221 ;
  • QTS 4.5.4.1892 build 20211223 ;
  • QuTS hero h5.0.0.1892 build 20211222.

Vous remarquerez que ces versions sont celles fournies fin décembre. En effet, ces dernières ne seraient pas impactées par l’utilisation d’une faille exploitée ces derniers jours. Les remontées utilisateurs indiquent que certains avaient encore une version ancienne QTS 4.5.3 ou QuTS hero h4.5.3 (lien vers l’avis de sécurité).

Ensuite, l’outil QcalAgent (calendrier) a été mis à jour. Une faille de sécurité (de type XSS) a été découverte avec en plus une vulnérabilité de redirection. Combinées, ces 2 vulnérabilités permettaient aux attaquants d’injecter du code et de rediriger les utilisateurs vers un site non fiable avec des logiciels malveillants.

Enfin, si vous utilisez la solution de surveillance QVR, sachez que les paquets QVR Elite, QVR Pro et QVR Guard ont été mis à jour. Une vulnérabilité de type dépassement de pile a été découverte. Elle permettait aux attaquants d’exécuter du code arbitraire sur un NAS QNAP.

Suite et fin ?

Au regard de ces informations, on image qu’il s’agit ici d’endiguer les attaques en cours (remontées la semaine dernière)… mais rien n’est moins sûr. En effet, QNAP n’a toujours pas levé son alerte sur son site et n’a pas encore fait de communication dans ce sens.

Pour le moment, nous vous recommandons de mettre à jour votre NAS et ses applications. Nous vous déconseillons de le rouvrir à l’extérieur pour le moment. Pour en savoir plus, rendez-vous sur la page Security Advisor de QNAP.