QNAP a supprimé un serveur malveillant utilisé dans des attaques par force brute généralisées ciblant les périphériques NAS (stockage en réseau) exposés à Internet avec des mots de passe faibles.

L’éditeur de matériel taïwanais a détecté les attaques dans la soirée du 14 octobre et, avec l’aide de Digital Ocean, a mis hors service le serveur de commande et de contrôle (utilisé pour contrôler un botnet de centaines de systèmes infectés) en deux jours.

« L’équipe de réponse aux incidents de sécurité des produits de QNAP (QNAP PSIRT) a rapidement pris des mesures en bloquant avec succès des centaines d’adresses IP de réseaux zombies via QuFirewall en 7 heures, protégeant ainsi efficacement de nombreux appareils NAS QNAP exposés à Internet contre de nouvelles attaques », a déclaré la société. dit.

« En 48 heures, ils ont également réussi à identifier le serveur C&C (Command & Control) source et, en collaboration avec le fournisseur de services cloud Digital Ocean, ont pris des mesures pour bloquer ce serveur C&C, évitant ainsi que la situation ne dégénère davantage. »

QNAP exhorte ses clients à sécuriser leurs appareils en modifiant le numéro de port d’accès par défaut, en désactivant la redirection de port sur leurs routeurs et l’UPnP sur le NAS, en utilisant des mots de passe robustes pour leurs comptes, en mettant en œuvre des politiques de mot de passe et en désactivant le compte administrateur ciblé par les attaques.

Il fournit également des instructions détaillées sur la manière de mettre en œuvre des mesures défensives dans son guide de sécurité :

• Désactivez le compte « admin » (page 30)
• Définissez des mots de passe forts pour tous les comptes d’utilisateurs et évitez d’utiliser des mots de passe faibles (page 34)
• Mettez à jour le micrologiciel et les applications du NAS QNAP vers les dernières versions (page 24)
• Installez et activez l’application QuFirewall (page 46)
• Utilisez le service de relais de myQNAPcloud Link pour empêcher votre NAS d’être exposé à Internet. S’il existe des besoins en bande passante ou des applications spécifiques nécessitant une redirection de port, vous devez éviter d’utiliser les ports par défaut 8080 et 443 (page 39)

« Cette attaque s’est produite au cours du week-end et QNAP l’a rapidement identifiée grâce à la technologie cloud, identifiant rapidement la source de l’attaque et la bloquant », a déclaré la semaine dernière Stanley Huang, directeur de QNAP PSIRT.

« Cela a non seulement aidé les utilisateurs de NAS QNAP à éviter tout dommage, mais a également protégé les autres utilisateurs de stockage contre cette vague d’attaques. »

L’entreprise met régulièrement en garde ses clients se méfier des attaques par force brute contre les appareils NAS QNAP exposés en ligne, car ces attaques entraînent souvent des attaques de ransomware [1, 2, 3].

Les cybercriminels ciblent fréquemment les appareils NAS, dans le but de voler ou de chiffrer des documents précieux ou d’installer des logiciels malveillants voleurs d’informations. Ces appareils sont souvent utilisés pour sauvegarder et partager des fichiers sensibles, ce qui en fait des cibles précieuses pour les acteurs malveillants.

Les attaques récentes ciblant les appareils QNAP incluent les campagnes de ransomware DeadBolt, Checkmate et eCh0raix abusant des vulnérabilités de sécurité pour crypter les données sur les appareils NAS exposés à Internet.

Synology, un autre fabricant taïwanais de NAS, a également averti ses clients en août 2021 que leurs périphériques de stockage connectés au réseau étaient ciblés par le botnet StealthWorker dans le cadre d’attaques par force brute en cours qui pourraient conduire à des infections par ransomware.