QNAP Systems a en fait fourni plus d’informations sur le dernier projet de ransomware DeadBolt ciblant les utilisateurs de ses périphériques de stockage en réseau (NAS) et la vulnérabilité que les attaquants exploitent (CVE-2022-27593).
À propos de CVE-2022-27593
CVE-2022-27593 existe depuis une recommandation gérée en externe qui s’applique à une ressource située au-delà de la sphère de contrôle souhaitée et affecte l’application Picture Station couramment utilisée.
La vulnérabilité permet aux attaquants de modifier les fichiers système et, finalement, de configurer et de diffuser des rançongiciels.
Selon son entrée dans la base de données nationale des vulnérabilités, la faille peut être utilisée par agresseurs à distance et non authentifiés sans aucune interaction de l’utilisateur. De plus, la complexité de l’attaque est faible.
Le chercheur en sécurité Jacob Baines a publié une entrée sur la base de données/forum public AttackerKB, détaillant son analyse du correctif Image Station proposé par QNAP et offrant un aperçu de certaines des particularités de CVE-2022-27593.
« Aucun code d’exploit public n’existe, bien que cette écriture introduira, ce que notre société pense être, la base de l’exploit », a-t-il écrit, et a gardé à l’esprit que le les informations sont probablement suffisantes pour composer des signatures et des détections par rapport à leur exploitation.
Les conseils de QNAP
Comme QNAP le dit, leur Product Security Occurrence Response Group (PSIRT) a reçu les premiers rapports sur les attaques le 3 septembre 2022. La société a publié un spot le même jour et a publié l’avis de sécurité conseillant aux utilisateurs d’effectuer le spot et de prendre des mesures de protection.
« Le groupe de sécurité de QNAP a découvert que la source du L’attaque du logiciel malveillant DeadBolt se fait au moyen de The Onion Routing (Tor), un con nection », a partagé l’entreprise.
« QNAP a en fait rassemblé une liste d’hôtes destructeurs et préchargé la liste noire dans l’application QuFirewall. QuFirewall bloquera les paquets suspects qui sont soupçonnés d’être envoyés par routage en oignon pour empêcher les hôtes NAS d’être agressés. Il détecte chaque jour le routage des oignons et les robots destructeurs, et met à jour dynamiquement la liste d’arrêt des packages destructeurs. Étant donné que de nombreux logiciels malveillants sont acheminés via le routage confidentiel des oignons pour éviter d’être tracés, QNAP exhorte tous les utilisateurs de NAS QNAP à configurer QuFirewall immédiatement pour traiter avec nous afin d’empêcher les attaques de logiciels malveillants. »
QNAP a également déclaré que :
- En supprimant les logiciels malveillants basés sur le cloud, c’est-à-dire les mises à jour basées sur les modèles d’attaque reconnus, les gadgets NAS ont été protégés contre le risque de ransomware sans que les utilisateurs aient besoin d’installer l’application couverte, et
- L’installation automatique des mises à jour d’applications via le QTS App Center a permis de protéger certains gadgets NAS QNAP connectés à Internet contre les attaques.
La société a en fait exhorté les utilisateurs à tirer le meilleur parti de la fonction Photos pour empêcher les futures campagnes de rançongiciels de se terminer terriblement pour eux.
« QNAP a changé les photos NAS en 2021, évitant que les photos ne soient supprimées par les rançongiciels. Dans QTS 5.0.0, les images sont autorisées par défaut dans Thin/Thick Volume. Les utilisateurs qui créent fréquemment des photos peuvent restaurer des informations complètes sur le NAS à un moment donné à l’aide d’images », ont-ils expliqué.
Un pic d’infections DeadBolt
L’entreprise n’a pas précisé le nombre de les gadgets ont fini par être touchés dans ce projet DeadBolt le plus récent, mais Censys a constaté une augmentation significative des infections début septembre :
« Deadbolt semble avoir une cadence assez commune de marque- nouvelles contaminations. Habituellement, il semble y avoir 7 à 12 jours entre chaque campagne », a décrit Mark Ellzey, chercheur principal en sécurité chez Censys.
« Au lieu de sécuriser l’ensemble du gadget, ce qui met efficacement l’appareil hors ligne (et hors du province de Censys), le ransomware ne cible que des répertoires de sauvegarde spécifiques pour le cryptage des fichiers et vandalise l’interface utilisateur de l’administration Web avec un message éducatif expliquant comment éliminer l’infection. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
