Qnap Alerte QNAP : des attaques sont en cours (brute force et ransomware)

EVO

EVO

Administreur
Membre du personnel
25 Novembre 2019
8 219
1 576
278
/var/run/docker.sock

Alerte QNAP : des attaques sont en cours (brute force et ransomware)​

QNAP a envoyé un message à ses utilisateurs : plusieurs attaques sont en cours et la cible : ce sont les utilisateurs de NAS. Le fabricant ne donne aucune information précise sur la nature de l’attaque et ses conséquences. Le spectre de QLocker refait surface. Explications…

qnap-alerte.webp


Lisez l'article complet sur Cachem ...
 
  • J'aime
Réactions: FX Cachem
Bonjour
Je viens d'être attaqué par le ransomware. Mais fichiers sont encrypté. J'ai débranché le serveur et vais attendre une solution éventuelle.
Verik
 
  • Triste
Réactions: EVO
j'ai la version 5.0.0
au moment ou je me suis connecté au nas il y avait une mise a jour proposée, mais je ne l'ai pas faite, j'ai débranché.
 
C'est infernal, Qnap n'a pas retenu la leçon.

En surfant sur le forum de Cachem que je découvre qu'il y a de nouveau une attaque sur nos Nas.

Je vais voir mon mail, et finalement au fin fond des spams je trouve un message 100% en Anglais de Qnap, daté du 7 Janvier pour nous avertir qu'il faut sécuriser son nas.

C'est technique et en anglais, je ne comprend pas pleinement les consignes.

On reçois toujours de la pub Qnap, 100% en Français, pour les dernières options, le dernier Nas, nous sommes les leaders blabla etc. Mais toujours pas de mail en Français pour ce genre de chose importante.

Cette fois ci j'ai mes sauvegardes qui fonctionnent, et j'ai déjà désactivé l'upnp, mais vu qu'on a pas vraiment de détail, par prudence j'ai éteins mon Nas, au moins si process il y a, il est stoppé ( j'ai vérifié tous mes fichiers, je ne vois pas de fichier zippé avec le fichier.txt habituel pour la rançon )

Franchement que Qnap se réveille, on a nos numéros de portable et nos mails qui sont enregistrés dans les paramètres, qu'ils fassent une double alerte pour ce genre de chose ! Quitte à que je sois facturé chaque année un forfait alerte, au moins je serai plus serein ! ( même si on a des backup, je préfère stop le nas pour éviter le début d'une infection, que devoir réinstaller le Nas et des To de backup )
 
  • J'aime
Réactions: Fred83, Chon et EVO
De même j'ai créé un sujet, mais effectivement moi aussi je suis concerné.
Bon en étant honnête j'avais pas fait les dernières MAJ de mon NAS ; maintenant la galère pour tenter de récupérer les données.
 
Bonjour,

Un complément d'information :

Voici l'avis du CERT-FR sur ces failles chez Qnap :

Multiples vulnérabilités dans les produits QNAP – CERT-FR

www.cert.ssi.gouv.fr www.cert.ssi.gouv.fr

La première faille est liée à QVPN
www.qnap.com

Vulnerability in QVPN Service - Security Advisory

QNAP conçoit des serveurs de stockage en réseau (NAS) de qualité et des solutions professionnelles d'enregistrement vidéo en réseau (NVR) destinés aux utilisateurs particuliers ou professionnels, allant des petites bureaux aux PME et aux grandes entreprises.
www.qnap.com www.qnap.com

La deuxième est liée à TFTP Server au sein de QTS, QuTSHero, QuTS Cloud
www.qnap.com

Reflected XSS Vulnerability in TFTP Server - Security Advisory

QNAP conçoit des serveurs de stockage en réseau (NAS) de qualité et des solutions professionnelles d'enregistrement vidéo en réseau (NVR) destinés aux utilisateurs particuliers ou professionnels, allant des petites bureaux aux PME et aux grandes entreprises.
www.qnap.com www.qnap.com

Pour le moment mon nas est éteint, ce qui m'intrigue, Hardisk a indiqué que son Nas était à jour, si c'était bien le cas, comment il a pu être infecté....
 
J'ai un Qnap TS-230 Firmware version : 5.0.0.1891.
Pas de ransomware ni d'attaque de mon coté pour le moment. Je touche tout le bois que je trouve.
 
Dernière édition:
  • J'aime
Réactions: EVO
Bonjour,

J'ai été malheuresement victime d'une attaque. J'ai des fichiers excel word txt encrypté. Apparement les photos video film son pas toucher. Alors je fais une sauvegarde rapide. Mais j'ai une question est ce que le ransomware peu encore faire des degats ? Comment faire pour le retirer si besoin.
Comment ils ont fais j'aimerai bien comprendre
C'est des gros enc*** s'en prendre a des particuliers c'est dégeulasse. Genre c'est pas des particulier qui vont payer des sommes astronomiques.
 
  • J'aime
Réactions: Gosseyn
Modération : Bonjour, merci de bien vouloir passer du coté de la rubrique Présentez-vous

malheureusement la meilleure solution est de repartir de 0 en restaurant ses backups
 
Si je supprime les fichier vérolé c'est pas bon. En plus le qpkg anti malware ne fonctionne plus chez moi je comprends pas. J'ai un qnap TS412PII
Surement trop ancien du coup.
 
Ce que je comprends pas c'est que les fichier photos film mp3 non pas ete crypté. Juste les fichier txt word excel. C'est normale ? J'ai l'impression que j'ai ete toucher quand j'ai fais la dernere mise a jours. Car ca c produit le 07/01/2021 date de mes fichier crypté. Bizare alors que je reportai la mise a jour a faire.
Message automatiquement fusionné :

Du coup je sauvegarde mes fichier important au plus vite. Sinon vous des cloud a me conseiller ?
 
dukeestar a dit:
Ce que je comprends pas c'est que les fichier photos film mp3 non pas ete crypté. Juste les fichier txt word excel. C'est normale ? J'ai l'impression que j'ai ete toucher quand j'ai fais la dernere mise a jours. Car ca c produit le 07/01/2021 date de mes fichier crypté. Bizare alors que je reportai la mise a jour a faire.
Message automatiquement fusionné :

Du coup je sauvegarde mes fichier important au plus vite. Sinon vous des cloud a me conseiller ?
Cliquez pour agrandir...
Il semblerait que ça n'est touché (si c'est comme chez moi) que les fichiers inférieurs à 20Mo.
En gros tous les fichiers administratifs et autres assez importants ... les films/séries, ça m'aurait pas dérangé, mais là ...
 
L'analyse sur la taille des fichiers semble bonne.
C'est beaucoup plus compliqué et long de compresser/chiffrer des fichiers avec une taille importante...
 
Bonjour,

Pour info j'ai été infecté sur mon NAS totalement a jour (system en 5.0.0 et QVPN au jour 3.0.760).

J'aimerai réinitialiser, mais malheureusement je ne vois pas par où le ver est entré dans el NAS et ne préfère pas me lancer dedans trop tot ....

Pour info, voilà l'état de mon système avant attaque :
  • le compte admin desactivé
  • connexions chiffrées/sécurisées comme HTTPS sur 8081;
  • services Telnet, SSH, desactivés
  • serveur web activé pour le webdav en https uniquement sur 5001
  • Installez QuFirewall activé en mode "basic protection" ;
  • authentification en 2 étapes activée ;
  • UPNP routeur activé (je viens de voir ça)
Ce seul dernier point a pu suffire a m'infecter?

[edit] Dans l'analyse des connexion j'ai en fait un utilisateur [appuser] qui s'est connecté quelques fois. Quand je survole, sur QLOG, il m'indique que ça correspond a l'applis Security Conselor. Normal?
 
Dernière édition:
Bonjour
De nouveau victime de l'attaque, firmware récent (minimum version 5, mais mis a jour en décembre...) 2 fois en moins d un an cela commence a faire beaucoup non ? j'ai coupé en attendant une solution
compte admin désactivé, port autre que 8080, malware remover HS, dernier rapport datant du 10/01/22
Je suppose que les snapshots sont hs… ( la flemme de regarder).
Message automatiquement fusionné :

Apparement le snapshot a fonctionné, je verrai demain pour restaurer cette partie.
 
Dernière édition:
  • Triste
Réactions: Ben-
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour