Hier, certains d’entre vous nous ont remonté des alertes étranges sur leurs NAS. Des pirates semblent faire des attaques de type brute-force sur les NAS (notamment via le compte admin). Rien de nouveau… mais le nombre de cas détecté est alarmant. Synology s’est fendu d’un communiqué. Il confirme qu’une attaque de grande envergure est en cours. Explications…
StealthWorker et NAS Synology
Si votre NAS n’est pas accessible depuis l’extérieur (via internet), vous n’êtes pas concernés par cette alerte. Si votre NAS est en DMZ ou si vous avez laissé la fonction UPNP gérer votre réseau : alors il faudra s’inquiéter. En effet, une attaque importante est en cours. La cible : les NAS Synology ! Hier, nous avions été alertés par un nombre important de tentatives de connexion. Cela arrive fréquemment, mais ici le nombre de cas remonté était impressionnant.
Un communiqué a été rédigé par le fabricant de NAS : « Synology PSIRT (Product Security Incident Response Team) a récemment vu et reçu des rapports sur une augmentation des attaques par force brute (brute-force) contre les appareils Synology. Les chercheurs en sécurité de Synology pensent que le botnet est principalement dirigé par une famille de logiciels malveillants appelée « StealthWorker ». À l’heure actuelle, Synology PSIRT n’a vu aucune indication que le malware exploite des vulnérabilités logicielles ». Il ajoute : « Ces attaques s’appuient sur un certain nombre de dispositifs déjà infectés pour essayer de deviner les informations d’identification admin et, en cas de succès, elles accèdent au système pour installer leur logiciel malveillant, qui peut inclure un ransomware. Les dispositifs infectés peuvent mener des attaques supplémentaires sur d’autres dispositifs basés sur Linux, y compris les NAS Synology ». Vous êtes maintenant prévenus.
Conseils de sécurité pour votre NAS
Tout d’abord, nous vous conseillons de regarder les journaux de connexion de votre NAS (via le Centre des journaux). Ensuite, comme indiqué précédemment, si votre NAS est en DMZ : retirez-le immédiatement. Si vous n’êtes pas chez vous et que vous ne savez pas comment faire, éteignez votre NAS à distance. Si vous avez laissé la configuration d’ouverture de port via UPNP, regardez bien les ports ouverts sur votre Box/routeur. Désactivez-le via le Panneau de configuration > Accès externe > Configuration du routeur. Seuls les ports et redirections nécessaires doivent être présents sur votre Box.
Enfin, nous vous rappelons qu’il faut absolument :
- Désactiver le compte admin (Panneau de configuration > Utilisateurs et groupe) ;
- Utiliser un mot de passe fort (au moins 8 caractères avec une majuscule, une minuscule, un chiffre et un caractère spécial) ;
- Activer le blocage automatique des IP (Panneau de configuration > Sécurité > Protection) ;
- Mettre à jour son NAS régulièrement (Panneau de configuration > Mise à jour et restauration) ;
Notre article des 10 conseils sécurité pour votre NAS est un peu ancien (2014), mais il reste toujours d’actualité. Soyez prudent avec vos données et votre NAS !