QNAP : le ransomware DeadBolt exploite une faille déjà corrigée !

02/02/2022 Florian BURNEL 2240 Views 1 Commentaire QNAP, Ransomware, Sécurité 1 min read

Si vous avez un NAS QNAP, vous devez le mettre à jour vers la dernière version dès que possible ! Voilà, ce qu'il faut conclure des dernières déclarations de QNAP, suite aux attaques en cours effectuées par les pirates derrière le ransomware DeadBolt.

Alors que les pirates évoquaient une faille de sécurité zero-day non corrigée par QNAP et qu'ils essayaient de faire pression sur le fabricant de NAS pour obtenir une somme d'argent conséquente, la faille semble déjà connue. En effet, l'équipe de réponse à incident de QNAP a effectué différentes analyses suite aux dernières attaques, et visiblement c'est une vulnérabilité déjà corrigée qui est exploitée par les pirates.

En fonction de la configuration de la fonctionnalité de mise à jour automatique sur votre NAS QNAP, peut-être que cette mise à jour est déjà installée sur votre matériel. En tout cas, si vous avez configuré le NAS pour utiliser la version du firmware recommandée, votre appareil va faire l'installation puisque depuis le 27 janvier 2022, cette version a été définie comme étant la version recommandée.

Pour vous protéger contre cette vulnérabilité et les attaques du ransomware DeadBolt, voici les versions à viser (en fonction des systèmes) :

QTS 5.0.0.1891 build 20211221 (et supérieur)
QTS 4.5.4.1892 build 20211223 (et supérieur)
QuTS hero h5.0.0.1892 build 20211222 (et supérieur)
QuTS hero h4.5.4.1892 build 20211223 (et supérieur)
QuTScloud c5.0.0.1919 build 20220119 (et supérieur)

Néanmoins, il faut rester méfiant puisqu'un utilisateur du forum QNAP affirme que son NAS a été chiffré par DeadBolt alors qu'il utilise la dernière version de QTS. Forcément, cela sème le doute. En complément de la mise à jour, je vous recommande vivement de ne pas exposer votre NAS QNAP sur Internet le temps que la situation soit plus claire (à minima).

DeadBolt est particulièrement actif ces derniers jours, avec déjà plusieurs milliers de NAS compromis et chiffrés. Pour récupérer ses données, la victime est invitée à payer une rançon estimée à 0,03 bitcoin, ce qui représente près de 1 000 euros. Ces derniers mois, les NAS QNAP exposés sur Internet sont régulièrement la cible de cyberattaques notamment par des ransomwares tels que Qlocker, eCh0raix et AgeLocker.

Source

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5575.Voir tous les posts

One thought on “QNAP : le ransomware DeadBolt exploite une faille déjà corrigée !”

Dervaux Jaques
08/02/2022 à 18:16
Permalink

Relatif au DEADBOLT de QNAP.
Je suis en dernière version sur mon TVS-472XT depuis un temps certain 5.0.0.1858 et il n’informe que j’ai la dernière version installée. Cela n’a pas empêché de piratage. WAFF WAFF, je pense qu’ils sont dans la semoule et lorsque je regarde ce qui est préconisé je devrais avoir une version ultérieur.
Toujours est il que j’ai une machine qui est là et ne fait plus rien. Solution, achat chez PCLOUD de 2 T et revente de mon NAS en seconde main.
Triste d’avoir dépensé tend d’argent pour rien et d’avoir perdu 1,5 T de data.
Merci QNAP, de plus que le feedback est très fourni.
Merci pour votre écoute/
Répondre