16/12/2024

Actu Cybersécurité

Le ransomware eChoraix s’attaque activement aux NAS QNAP

QNAP alerte ses clients sur une nouvelle vague d'attaques qui touchent les NAS de la marque. En cause, des mots de passe faibles, mais une faille dans Roon inquiète et pourrait être exploitée par un ransomware.

Le fabricant de NAS QNAP informe que certains de ses clients sont victimes du ransomware eChoraix, sans préciser combien. QNAP précise que les appareils qui utilisent un compte avec un mot de passe faible sont vulnérables à cette attaque. Voici les recommandations de QNAP pour vous protéger contre cette attaque (et les attaques de manière générale, en fait) :

  • Utiliser un mot de passe complexe pour les comptes administrateurs
  • Activer la fonction "IP Protection" pour vous protéger contre les attaques de type brute force, aussi bien en SSH qu'en accès HTTPS
  • Ne pas utiliser les ports par défaut 443 et 8080 pour l'accès Web

Sur son site, QNAP détaille la marche à suivre pour mettre en œuvre ses recommandations.

Une faille Zero Day dans Roon

Nous apprenons également que le paquet Roon de QNAP contient une faille de sécurité Zero Day activement exploitée. Cependant, il n'y aurait pas de liens entre les attaques avec le ransomware eChoraix et cette faille dans Roon. En tout cas, pas pour le moment, mais ce n'est peut être qu'une question de temps...

💡 Qu'est-ce que Roon sur QNAP ? Le paquet tiers Roon de QNAP sert à transformer votre NAS en véritable jukebox puisqu'il permet de créer un serveur musical pour gérer votre bibliothèque musicale et de lire de la musique facilement.

Le serveur Roon est un paquet tiers et la version affectée par cette faille de sécurité est la version 2021-02-01 (et les versions précédentes). D'ailleurs, ce paquet est disponible aussi chez d'autres fabricants comme Synology et ASUSTOR. En attendant que Roon Labs distribue une mise à jour de son paquet Roon, il est recommandé de désactiver le Roon Server sur votre NAS. D'autant plus qu'il est probable que votre Server Roon soit accessible sur Internet, si vous l'utilisez en mobilité.

eChoraix et QNAP : une histoire qui dure

Ce n'est pas la première fois que le ransomware eChoraix s'attaque aux NAS QNAP : il y avait déjà eu une vague d'attaques en juin 2019 et en juin 2020. Ce ransomware est également connu sous le nom de QNAPCrypt.

Le mois dernier, il y avait déjà eu une vague d'attaques sur les NAS QNAP avec le ransomware Qlocker. Ce dernier exploitait une faille de sécurité au sein du paquet Multimedia Console de QNAP. En cinq jours, ce ransomware avait généré plus de 260 000 dollars de gain.

Enfin, il y a quelques jours, QNAP a également corrigé une vulnérabilité importante au sein de l'application Malware Remover. Si vous avez un NAS QNAP : il est temps de passer en revue votre configuration 😉

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Le ransomware eChoraix s’attaque activement aux NAS QNAP

  • Faut désactiver le compte admin par défaut aussi et utiliser le 2FA sur les comptes critiques. Mais comme a peut près partout en fait. Utiliser un firewall « strict » programmer des extinctions/réveil quand c’est possible bref en principe en faisant un peu attention les risques sont sensiblement « contenu ». Enregistrer les logs même si c’est coûteux en ressources…

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.