Espace actualités de QNAP

Taipei, Taïwan, le 12 Septembre 2022 - QNAP® Systems, Inc. a détecté la menace de sécurité DeadBolt qui exploite une vulnérabilité dans Photo Station pour chiffrer les NAS QNAP connectés directement à Internet. L’Équipe d’intervention de sécurité de QNAP (QNAP PSIRT) a évalué et publié une version avec un correctif de Photo Station dans les 12 heures. De plus, elle a pris des mesures d’urgence afin d’interrompre les attaques de rançongiciels. Pour plus d’informations, consultez les avis et les mises à jour de sécurité : QSA-22-24.

Actions par rapport aux incidents émergents dans les 12 heures

• Investigation et évaluation rapides des rapports de vulnérabilité
  L’équipe QNAP PSIRT a reçu des rapports le 3 septembre 2022 et a immédiatement démarré les investigations. Après avoir confirmé que l’attaque ciblait les instances de l’appli Photo Station avec l’exposition à Internet, une équipe de réponse d’urgence, impliquant des membres de PSIRT, des R et D, de la Vérification de la qualité de conception et du Support technique, s’est associée et a corrigé la vulnérabilité.

• Correction de Photo Station pour réduire l’étendue des attaques de programmes malveillants
  QNAP a entrepris une action décisive contre les activités malveillantes, a corrigé la dernière version de Photo Station et l’a publiée dans les 5 heures après avoir identifié les motifs des programmes malveillants. Avec le QTS App Center qui installe automatiquement les mises à jour nécessaires pour Photo Station, il protège efficacement les NAS QNAP connectés à Internet contre les attaques hostiles. Ainsi, il limite l’impact potentiel.

• Activation de la définition de logiciels malveillants en cloud pour bloquer les attaques de programmes malveillants
  QNAP PSIRT a activé les mises à jour des définitions de logiciels malveillants en cloud après une analyse approfondie et un test des motifs de l’attaque. L'action d'urgence a efficacement protégé le NAS sans installer l'application corrigée contre le cryptage des menaces de ransomware.

• Divulgation rapide de la cyberattaque
  Après avoir publié le Photo Station corrigé, QNAP a publié les Informations de sécurité et l’avis de sécurité, dans les 12 heures, afin de divulguer de manière proactive ce problème et à inciter fortement les utilisateurs à prendre les approches nécessaires contre les attaques.

• Recommande l’utilisation de snapshots pour restaurer les données du NAS
  QNAP a modifié les snapshots NAS en 2021, ce qui empêche les snapshots d’être supprimés par des rançongiciels. Dans QTS 5.0.0, les snapshots sont activés par défaut dans Volume léger/lourd. Les utilisateurs qui créent des snapshots régulièrement peuvent restaurer les données complètes du NAS à un moment précis à l’aide des snapshots. Les utilisateurs qui ne créent pas de snapshots régulièrement doivent contacter le Service client de QNAP dès que possible. QNAP encourage vivement tous les utilisateurs de NAS QNAP à prendre régulièrement des snapshots afin de protéger les données importantes.

QNAP a découvert le motif de l’attaque et a bloqué efficacement le comportement suspect

L’équipe de sécurité de QNAP a conclu que la source de l’attaque de programme malveillant DeadBolt s’effectue via le Routage en oignon (Tor), une connexion anonyme. QNAP a recueilli une liste d’hôtes malveillants et a préchargé la liste noire dans l’application QuFirewall. QuFirewall bloquera les paquets suspects soupçonnés d’être envoyés par le routage en oignon afin d’empêcher les attaques contre les hôtes de NAS. Tous les jours, il détecte le routage en oignon et les bots malveillants et met à jour de manière dynamique la liste de blocage des paquets malveillants. Puisque la plupart des programmes malveillants sont acheminés via des routages en oignon anonymes pour éviter d’être suivis, QNAP encourage vivement tous les utilisateurs de NAS QNAP à installer immédiatement QuFirewall pour collaborer avec nous afin de bloquer les attaques de programmes malveillants.

Si votre NAS est exposé à Internet, vous devez suivre les instructions suivantes pour assurer la sécurité de votre NAS :

Étape 1 : Désactivez la DMZ et la fonction UPnP de votre routeur

Allez dans l’interface de gestion de votre routeur, vérifiez les paramètres DMZ, UPnP, Serveur virtuel ou Réacheminement de port du routeur, puis désactivez les paramètres relatifs.

Étape 2 : Désactivez la fonction UPnP du NAS QNAP

Allez dans myQNAPcloud sur le menu QTS, cliquez sur « Configuration automatique du routeur », puis désélectionnez « Activer le réacheminement de port UPnP ».

Étape 3 : Attention au Réacheminement de port (la désactivation de la fonction est recommandée)

Si vous n’avez pas besoin de vous connecter de manière externe à votre NAS, nous vous recommandons de désactiver le Réacheminement de port et autres paramètres relatifs au réacheminement vers le NAS. Si la redirection vers le NAS est requise, vous devez mettre en place des configurations de sécurité strictes telles qu’un pare-feu et régler le port de gestion du système.

• Si vous avez besoin de vous connecter au NAS depuis Internet, utilisez la connexion sécurisée myQNAPcloud Link :
  https://www.qnap.com/go/solution/myqnapcloud-link/
• Plus d’informations sur l’accès à distance au NAS et sur la sécurité du réseau :
  https://www.qnap.com/go/solution/secure-remote-access/