ASUSTOR vs DeadBolt : Zero-day ? Plex ? EZConnect ? L’origine reste inconnue
jeudi 24 février 2022 à 07:45Depuis plusieurs jours, les NAS ASUSTOR sont ciblés par les pirates informatiques derrière le ransomware DeadBolt. Résultat, des utilisateurs perdent toutes leurs données car elles sont chiffrées : à moins de payer la rançon d'environ 1 000 euros. Voici les dernières infos sur cette affaire.
Une zero-day exploitée... ou pas ?
Les pirates à l'origine de ces attaques évoquent l'utilisation d'une faille zero-day afin de compromettre les NAS ASUSTOR, dans le même esprit de ce qu'ils avaient annoncé lors des attaques des NAS QNAP. Une manière de mettre la pression à ASUSTOR et d'obtenir une importante somme d'argent en échange de la master key permettant de déchiffrer l'ensemble des NAS compromis. Si ASUSTOR souhaite récupérer la master key, le fabricant doit payer près de 2 millions d'euros (50 bitcoins), tandis que pour obtenir les détails sur la faille zero-day, la rançon s'élève à environ 270 euros (7,5 bitcoins).
Reste à savoir quelle est la faille de sécurité exploitée : ASUSTOR mène son enquête. Certains évoquent une faille de sécurité au sein du paquet Plex, qui permet de monter un serveur multimédia, ou de la fonctionnalité EZConnect qui facilite l'accès à distance à son NAS.
Dans tous les cas, il y a peu de chances qu'ASUSTOR paie cette rançon très élevée afin de récupérer la master key universelle. Si votre NAS est chiffré par DeadBolt, vous devez vous-même payer la rançon ou compter sur une sauvegarde de vos données, ce qui est bien sûr préférable.
Quelques modèles non affectés ?
Même s'il n'y a aucune certitude à ce sujet, certaines personnes estiment que les modèles suivants ne sont pas vulnérables à cette attaque : AS6602T, AS-6210T-4K, AS5304T, AS6102T, et AS5304T. C'est tout de même étonnant car le système reste le même, ensuite c'est une question de configuration. A voir si cela se confirme par la suite.
Que faire en attendant ?
En attendant d'en savoir plus, ASUSTOR recommande à ses clients de ne plus rendre accessible le NAS à partir d'Internet. Pour cela, il faut effectuer les actions suivantes :
- Ne pas utiliser les ports par défaut pour accéder à l'interface de gestion de son NAS (par défaut les ports 8000 et 8001 sont utilisés pour HTTP et HTTPS)
- Désactiver l'accès facile à distance et correspondant à la fonction EZ Connect
- Désactiver les services SSH et SFTP
- Réaliser une sauvegarde immédiate de vos données
Sur Reddit et le forum ASUSTOR, il y a de nombreux messages au sujet des attaques DeadBolt.
The post ASUSTOR vs DeadBolt : Zero-day ? Plex ? EZConnect ? L’origine reste inconnue first appeared on IT-Connect.