Le ransomware eChoraix s’attaque activement aux NAS QNAP
QNAP alerte ses clients sur une nouvelle vague d'attaques qui touchent les NAS de la marque. En cause, des mots de passe faibles, mais une faille dans Roon inquiète et pourrait être exploitée par un ransomware.
Le fabricant de NAS QNAP informe que certains de ses clients sont victimes du ransomware eChoraix, sans préciser combien. QNAP précise que les appareils qui utilisent un compte avec un mot de passe faible sont vulnérables à cette attaque. Voici les recommandations de QNAP pour vous protéger contre cette attaque (et les attaques de manière générale, en fait) :
- Utiliser un mot de passe complexe pour les comptes administrateurs
- Activer la fonction "IP Protection" pour vous protéger contre les attaques de type brute force, aussi bien en SSH qu'en accès HTTPS
- Ne pas utiliser les ports par défaut 443 et 8080 pour l'accès Web
Sur son site, QNAP détaille la marche à suivre pour mettre en œuvre ses recommandations.
Une faille Zero Day dans Roon
Nous apprenons également que le paquet Roon de QNAP contient une faille de sécurité Zero Day activement exploitée. Cependant, il n'y aurait pas de liens entre les attaques avec le ransomware eChoraix et cette faille dans Roon. En tout cas, pas pour le moment, mais ce n'est peut être qu'une question de temps...
💡 Qu'est-ce que Roon sur QNAP ? Le paquet tiers Roon de QNAP sert à transformer votre NAS en véritable jukebox puisqu'il permet de créer un serveur musical pour gérer votre bibliothèque musicale et de lire de la musique facilement.
Le serveur Roon est un paquet tiers et la version affectée par cette faille de sécurité est la version 2021-02-01 (et les versions précédentes). D'ailleurs, ce paquet est disponible aussi chez d'autres fabricants comme Synology et ASUSTOR. En attendant que Roon Labs distribue une mise à jour de son paquet Roon, il est recommandé de désactiver le Roon Server sur votre NAS. D'autant plus qu'il est probable que votre Server Roon soit accessible sur Internet, si vous l'utilisez en mobilité.
eChoraix et QNAP : une histoire qui dure
Ce n'est pas la première fois que le ransomware eChoraix s'attaque aux NAS QNAP : il y avait déjà eu une vague d'attaques en juin 2019 et en juin 2020. Ce ransomware est également connu sous le nom de QNAPCrypt.
Le mois dernier, il y avait déjà eu une vague d'attaques sur les NAS QNAP avec le ransomware Qlocker. Ce dernier exploitait une faille de sécurité au sein du paquet Multimedia Console de QNAP. En cinq jours, ce ransomware avait généré plus de 260 000 dollars de gain.
Enfin, il y a quelques jours, QNAP a également corrigé une vulnérabilité importante au sein de l'application Malware Remover. Si vous avez un NAS QNAP : il est temps de passer en revue votre configuration 😉
Faut désactiver le compte admin par défaut aussi et utiliser le 2FA sur les comptes critiques. Mais comme a peut près partout en fait. Utiliser un firewall « strict » programmer des extinctions/réveil quand c’est possible bref en principe en faisant un peu attention les risques sont sensiblement « contenu ». Enregistrer les logs même si c’est coûteux en ressources…