QNAP – Une nouvelle attaque DEADBOLT en cours sur les NAS…

L’année 2022 est compliquée pour ceux qui disposent d’un NAS. En effet, les attaques se multiplient et aujourd’hui encore… Deadbolt est de retour sur les boîtiers QNAP. Si votre NAS est exposé sur Internet, nous vous recommandons de désactiver son accès et de contrôler qu’il soit bien à jour.

[edit] Mises à jour à la fin de l’article

QNAP DEADBOLT

Deadbolt et QNAP

Après une première attaque en janvier puis une seconde en mai, les NAS QNAP semblent de nouveau la cible de malware Deadbolt. Cette fois-ci, il semblerait que la faille utilisée serait le paquet Photo Station. En effet, sur les réseaux sociaux, il semble que les victimes avaient une version de QTS relativement récente. Le point commun des victimes serait Photo Station et bien sûr que le NAS était directement accessible depuis Internet. Cette information reste à confirmer.

Deadbolt est un malware de type ransomware (en français rançongiciel). Un groupe de hackers malintentionnés exploite une vulnérabilité sur les NAS accessibles depuis Internet. Une fois sur le NAS, les attaquants vont chiffrer les fichiers (encrypter) et ensuite demander une rançon. L’écran ci-dessous s’affiche et réclame le paiement de 0,05 bitcoin (environ 995 euros) à une adresse Bitcoin unique pour chaque victime.

QNAP DEADBOLT 4

Comme vous pouvez également le noter, il y a un nouveau bouton : News for DEADBOLT team.

Déconnectez votre NAS et attendez

Si votre NAS est accessible depuis Internet, le plus urgent est de couper cette connexion. On ne dit pas de débrancher physiquement NAS (quoique), mais de supprimer ou désactiver toutes les redirections de ports sur votre Box opérateur vers le boîtier.

security conselor - DeadBolt : les NAS QNAP sont victimes d'une nouvelle attaque

Pour savoir si votre NAS QNAP est exposé sur Internet (et donc accessible en dehors de chez vous), ouvrez le Conseiller de Sécurité. Votre NAS est en danger s’il y a « Le service d’administration système peut être directement accessible à partir d’une adresse IP externe via les protocoles suivants : HTTP ».

Quelques conseils supplémentaires

On vous rappelons également quelques conseils :

  • Désactivez l’UPnP sur le NAS ;
  • Utilisez uniquement des connexions sécurisées comme HTTPS ;
  • Désactivez les services de type Telnet et SSH lorsqu’ils ne sont pas utilisés ;
  • Changez les ports externes par défaut (côté Internet), avec des ports personnalisés ;
  • Installez QuFirewall et limitez les adresses IP autorisées (à la région France par exemple) ;
  • Installez l’antivirus Malware Remover (gratuit depuis l’App Center) ;
  • Désactivez le compte admin ;
  • Utilisez des mots de passe forts ;
  • Configurez l’authentification en 2 étapes ;
  • Mettez à jour régulièrement le NAS et ses applications.

Sauvegarde 3 – 2 – 1

Enfin, la meilleure sécurité pour vos données importantes… c’est de mettre en place une stratégie de sauvegarde 3 – 2 – 1 : 3 copies de vos fichiers sur 2 supports différents, dont 1 sauvegarde hors site.

 

[edit 3 septembre] QNAP confirme que le problème vient de Photo Station (source). Le fabricant recommande d’utiliser QuMagie. Il ajoute : « Nous recommandons vivement que votre NAS QNAP ne soit pas directement connecté à Internet. Ceci afin de renforcer la sécurité de votre NAS de QNAP. Nous recommandons aux utilisateurs d’utiliser la fonction myQNAPcloud Link fournie par QNAP, ou d’activer le service VPN. Cela permet de renforcer efficacement le NAS et de réduire les risques d’attaque ».

[edit 4 septembre] QNAP a créé une QSA et son statut est affiché « Résolu » (source). Une mise à jour de Photo Station vient d’être mise en ligne, en date du 4/09.

    1. Donne un lien stp car impossible de trouver un lien sur le net au sujet de ce que tu affirmes.
      Lorsque l’on tape DEADBOLT l’on ne parle que de QNAP et ASUSTOR

  1. Au lieu de sortir des nouveaux modèles pratiquement chaque semaine. Qnap ferait mieux d’avoir un soft à la hauteur.
    c’est ce qui ma toujours empêché d’acheter chez eux. le hardware est mieux que chez Synology mais le logiciel est une passoire.

    Pour mon NAS, les données sont importantes d’où mon choix.

    Asustor est nettement mieux aussi que QNAP niveau sécurité.

  2. Voilà pourquoi je ne regrette pas d’avoir quitté QNAP pour passer sur un NAS fait maison avec OMV.
    C’est du Linux basé sur Debian, donc dès qu’il y a un problème de sécurité, c’est corrigé très vite.
    Plus besoin d’attendre la MAJ d’un firmware.
    Ce n’est pas du clé en main, mais quel bonheur d’avoir le contrôle du système niveau sécurité.
    Pour les services tiers, un reverse proxy style NGINX sur tous ses conteneurs Docker apporte une certaine sérénité niveau sécurité.

  3. Je viens malheureusement de subir cette attaque… Mon NAS était en ligne depuis 2015 et il est passé à travers de toutes les autres attaques.

  4. Idem, Je viens de me rendre compte que je fais parti du lot de nas infecté !!!!
    j’imagine qui faut attendre ? de voir l’évolution ou y a t’il une parade ?
    Merci à vous

  5. A mon sens le mieux est de changer les ports par défaut 8080 (http) et 443 (https) , ce que j’ai fait depuis longtemps et passe au travers des attaques. Il ne faut pas oublier que les applis native comme PhotoStation; MusicStation utilisent les mêmes port par défaut que Qts.
    Je peux me tromper mais si Qnap est plus souvent la cible c’est pour moi en partie dû a un mauvais choix des ports par défaut pour Qts . Qnap aurait dû choisir des ports plus exotique…

  6. Bonjour,

    Je suis aussi victime de Dead Bolt alors que j’étais passé au travers.

    Je sollicite votre aide car mon NAS contient beaucoup de données personnelles auxquelles je tiens…

    J’ai :
    1) déconnecté mon NAS d’internet
    2) exécuté Malware Remover
    3) mis à jour photo station
    4) payé la rançon demandée 0.05 bitcoins
    5) probleme : je ne parviens pas à trouver la clé de déchiffrement car le code 0P_RETURN n’est pas présent dans ma transaction (en utilisant le site internet blockchain explorer).

    Savez vous comment et ou trouver ce code ?

    Est ce génant d’avoir exécuté Malware Remover ? Je me demande si je pourrais toutefois effectuer le déchiffrement avec la clé (si je la trouve …)

    Je sollicite votre aide, car je suis assez désemparé …

    Par avance, merci et bon courage.

    jckfun

    1. Salut,
      Je t’invite a contacté le support QNAP en indiquant avoir payé la rançon et en leur donnant le lien de la transaction. Il pourrons t’aider dans le processus de récupération.

      Aussi, il faut s’avoir que la transaction / retour de 0P_RETURN n’est pas instantanée, cela peut prendre plusieurs heures.

  7. Merci pour ton retour.

    J’ai bien le message sous BINANCE que la transaction est réalisée. Mais impossible d’avoir le retour de 0P_RETURN.

    Ou le trouver ?

    Je me demande si le portefeuille spot que j’ai utilisé permet bien d’obtenir le code 0P_RETURN …

    Bonne journée

  8. J’ai quand même du mal à me passer d’un accès direct par Internet, c’est un peu la base du NAS quand même… En tous cas, j’avais déjà désactivé UPnP, modifié les ports externes, désactivé le SSH. Mon firmware est déjà à jour Je garde mon compte admin mais avec un mot de passe très complexe. J’ai activé le HTTPS et mis à jour toutes les applications, et puis je n’ai jamais installé PhotoStation. Je croise les doigts pour que ça passe !

  9. Bonjour,la mise à jour de l’application passoire a été mise à jour sans que fasse quoi que ce soit, QNAP a très vite réagi sur ce problème.

    1. Haha ce genre de commantaire me fait rire. A quel moment tu as pu imaginé que payer etait la meilleure choses à faire !
      Tu as perdu 1000 parce que tu as choisi de payer et que tu n’avais pas de sauvegarde. C’est tout. Faut arrêter de jetter la faute aux autres.

    2. Vous avez obtenu une clé de décryptage suite à votre paiment ?
      Cette dernière a fonctionnée et vous avez retrouvé toute vos données ?

  10. Question bête je suis en RC et je n’ai plus aucun acces sur photo station. j’ai le droit à un message comme quoi : ‘The server encountered an internal error or misconfiguration and was unable to complete your request.

    Please contact the server administrator at admin@NAS to inform them of the time this error occurred, and the actions you performed just before this error.

    More information about this error may be available in the server error log.’

    J’ai desinstallé et réinstallé l’application, c’est toujours la même chose. Des idées?

  11. bonjour je viens de subir Deadbolt, je ne souhaite vraiment pas payer la rançon, que faire pour débloquer mon NAS? j’ai coupé les redirections et débranché d’internet

    merci pour votre aide,

    cdlt

    stéphane

  12. Bonjour,

    L’attaque virale qui s’est produite en aout exploite une faille de sécurité zero-day non corrigée par QNAP au moment de l’attaque..La question de sa responsabilité juridique se pose.
    Au vu des dégats occasionnés par cette attaques, nul doute que les préjudices sont nombreux chez les utilisteurs. Quelqu’un a-yt-il connaissance d’une association d’utilisateurs prête à étudier la question juridique ?
    Jean

    1. Bonjour,

      Dans votre commentaire, on peut supposer que vous en avez été victime et c’est bien triste. On peut tout à fait comprendre votre colère. Toutefois, je me permets de vous rappeler qu’en droit les écrits restent et internet n’est pas une zone de non-droit.

      1) La faille a été exploitée début septembre et non en août comme vous l’indiquez (manipulation de l’information).
      2) Il faut rappeler qu’une faille zero-day (0-day) est par essence inconnue et qu’elle n’a fait l’objet d’aucune publication. Ce type de vulnérabilités est très prisé par les hackers puisqu’elles sont exploitables, non dévoilées et donc non corrigées. Votre propos suppose que QNAP était informé et n’a rien fait (diffamation).
      3) En l’état, c’est vous qui risquez des poursuites. On peut aussi ajouter une tentative de discrédit d’une société.
      Si vous avez des informations que nous n’avons pas(mail interne, publication du fabricant, informations d’un lanceur d’alerte), n’hésitez pas à les partager avec nous. Quoiqu’il en soit, il faudra en apporter la preuve à l’audience. Mon petit doigt me dit que vous n’avez rien. J’espère que vous avez un bon avocat.
      4) Avez-vous des sauvegardes ? Avez-vous correctement paramétré et sécurisé votre NAS ? Payez-vous un service par un professionnel pour gérer votre serveur ? Avez-vous un contrat avec le constructeur ?
      5) Si vous êtes victime, c’est que vous avez installé Photo Station et que votre produit était accessible au tout venant par internet. Ce n’est pas QNAP qui a fait ses opérations à votre place. À moins que vous puissiez prouver le contraire ?

      C’est un peu comme chez vous. Vous faites installer une porte blindée à votre domicile, vous partez en laissant la fenêtre ouverte et vous n’avez pas d’alarme. Vous pouvez porter plainte, mais votre assureur ne vous dédommagera pas. D’ailleurs, avez-vous porté plainte suite à votre attaque Deadbolt ? Ce n’est pas obligatoire, mais c’est recommandé. La procédure peut se faire en ligne à cette adresse : https://www.service-public.fr/particuliers/vosdroi...
      Nous pouvons prendre d’autres exemples comme Wannacry, qui a défié la chronique. La société Microsoft n’a été inquiétée dans aucun pays, pas même aux USA pourtant coutumiers des procédures. On pourra également citer Google régulièrement mis à l’index, tout comme Apple, sans oublier Apache avec notamment Log4j. Aucune poursuite, étonnant n’est-ce pas.

      Il est loisible de suer le fiel ou de cracher le vinaigre… :*

  13. Est ce qu’on sait si les routeur Hora sont victime aussi ou si ils restent « safe » ?
    Je me tâte à en prendre un pour remplacer ma Freebox… mais j’ai peur d’être confronté à ce genre de soucis …
    Si jamais quelqu’un peut m’apporter un peu de lumière 😉
    Merci

  14. Salut
    Je reviens sur le sujet pour savoir s’il existe un moyen fiable (en dehors de payer la rançon) pour décrypter les fichier du NAS qui finissent par .deadbolt?

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.