QNAP met à l’arrêt un serveur utilisé par les pirates pour compromettre des NAS !
mardi 24 octobre 2023 à 09:20En collaboration avec Digital Ocean, QNAP est parvenu à mettre à l'arrêt un serveur utilisé par les cybercriminels pour attaquer massivement des NAS QNAP. Voici ce qu'il faut savoir !
Dans la soirée du 14 octobre 2023, QNAP a détecté de nombreuses attaques effectuées depuis un serveur de Command and Control géré par des cybercriminels. 48 heures plus tard, le serveur a été arrêté grâce à l'intervention de Digital Ocean, qui est le fournisseur Cloud utilisé par les cybercriminels pour cette campagne d'attaques.
Ce serveur a été utilisé pour piloter des appareils zombies dans le but de compromettre des milliers de NAS QNAP. Pour arrêter l'hémorragie, l'équipe de réponse aux incidents de sécurité de QNAP a bloqué des centaines d'adresses IP malveillantes via des règles distribuées dans QuFirewall. En moins de 7 heures, QNAP est parvenu à maîtriser cette attaque afin de protéger les NAS QNAP exposés sur Internet et qui ne sont pas suffisamment sécurisés : le brute force semble être la technique utilisée pour tenter de compromettre des NAS.
Nous ne savons pas s'il y a eu des NAS compromis ni combien il y en a eu, car QNAP n'a pas communiqué à ce sujet. Ceux qui ont eu une mauvaise surprise aux alentours du 14 octobre 2023 sont probablement victimes de cette vague d'attaques.
Pour QNAP, c'est l'occasion de rappeler les bonnes pratiques en matière de configuration de son NAS, avec notamment des règles élémentaires :
- Utiliser des mots de passe robustes pour les différents comptes
- Ne pas utiliser le compte "admin" par défaut et s'assurer qu'il est bien désactivé
- Mettre à jour le système d'exploitation du NAS régulièrement
- Ne pas exposer son NAS sur Internet en utilisant les ports par défaut
Par ailleurs, QNAP recommande l'utilisation de l'application QuFirewall qui est un pare-feu pour NAS QNAP. L'entreprise taïwanaise précise également : "Utilisez le service de relais de myQNAPcloud Link pour éviter que votre NAS ne soit exposé à Internet. Si des exigences de bande passante ou des applications spécifiques nécessitent une redirection de port, vous devez éviter d'utiliser les ports par défaut 8080 et 443."
En 2022, les NAS QNAP ont été ciblés à plusieurs reprises par des ransomwares, notamment DeadBolt. On peut imaginer que QNAP souhaite à tout prix éviter de revivre cette situation.
The post QNAP met à l’arrêt un serveur utilisé par les pirates pour compromettre des NAS ! first appeared on IT-Connect.