ASUSTOR vs DeadBolt : Zero-day ? Plex ? EZConnect ? L’origine reste inconnue

Depuis plusieurs jours, les NAS ASUSTOR sont ciblés par les pirates informatiques derrière le ransomware DeadBolt. Résultat, des utilisateurs perdent toutes leurs données car elles sont chiffrées : à moins de payer la rançon d'environ 1 000 euros. Voici les dernières infos sur cette affaire.

Une zero-day exploitée... ou pas ?

Les pirates à l'origine de ces attaques évoquent l'utilisation d'une faille zero-day afin de compromettre les NAS ASUSTOR, dans le même esprit de ce qu'ils avaient annoncé lors des attaques des NAS QNAP. Une manière de mettre la pression à ASUSTOR et d'obtenir une importante somme d'argent en échange de la master key permettant de déchiffrer l'ensemble des NAS compromis. Si ASUSTOR souhaite récupérer la master key, le fabricant doit payer près de 2 millions d'euros (50 bitcoins), tandis que pour obtenir les détails sur la faille zero-day, la rançon s'élève à environ 270 euros (7,5 bitcoins).

ASUSTOR DeadBolt

Reste à savoir quelle est la faille de sécurité exploitée : ASUSTOR mène son enquête. Certains évoquent une faille de sécurité au sein du paquet Plex, qui permet de monter un serveur multimédia, ou de la fonctionnalité EZConnect qui facilite l'accès à distance à son NAS.

Dans tous les cas, il y a peu de chances qu'ASUSTOR paie cette rançon très élevée afin de récupérer la master key universelle. Si votre NAS est chiffré par DeadBolt, vous devez vous-même payer la rançon ou compter sur une sauvegarde de vos données, ce qui est bien sûr préférable.

Quelques modèles non affectés ?

Même s'il n'y a aucune certitude à ce sujet, certaines personnes estiment que les modèles suivants ne sont pas vulnérables à cette attaque : AS6602T, AS-6210T-4K, AS5304T, AS6102T, et AS5304T. C'est tout de même étonnant car le système reste le même, ensuite c'est une question de configuration. A voir si cela se confirme par la suite.

Que faire en attendant ?

En attendant d'en savoir plus, ASUSTOR recommande à ses clients de ne plus rendre accessible le NAS à partir d'Internet. Pour cela, il faut effectuer les actions suivantes :

  • Ne pas utiliser les ports par défaut pour accéder à l'interface de gestion de son NAS (par défaut les ports 8000 et 8001 sont utilisés pour HTTP et HTTPS)
  • Désactiver l'accès facile à distance et correspondant à la fonction EZ Connect
  • Désactiver les services SSH et SFTP
  • Réaliser une sauvegarde immédiate de vos données

Sur Reddit et le forum ASUSTOR, il y a de nombreux messages au sujet des attaques DeadBolt.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3782 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.