Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe

[Flo21]

Bonjour à tous,

Je suis dans le cas suivant : j'ai vu les alertes de fin de semaine dernière sur différents forums. J'ai donc mis à jour l'ensemble des applications et le micrologiciel à ce moment là. Et aucun signe d'infection d'ici là. Sachant que mon NAS avait toujours accès à internet (notamment via MyQnapLink) mais de manière normalement sécurisée (ports par défaut modifiés, compte admin désactivé, mot de passe robuste et double authentification).

Vers 10h30 ce matin je fais tourner MalwareRemover et RAS. A 12:00 il se lance automatiquement et là j'ai le message [malware remover] Removed vulnerable files or folders. Malware ID : MR2102.

Je n'ai vu l'alerte que 1h30 plus tard. Je me connecte en pensant voir le pire mais pour le moment RAS : pas de trace de fichier .7z ou autres. Est-ce possible qu'il n'ait pas eu le temps de se déclencher ? Je trouve cela étrange. J'ai lancé les premières lignes de commande sur la Console SSH tel que préconisé sur le site QNAP (Method 1) par précaution mais Malware Remover ayant fait le job, le fichier 7z.log que je récupère ne contient aucun mot de passe mais seulement cela (ce qui doit plus ou moins correspondre à certaines actions de Malware Remover)

"
/usr/local/sbin/7z.orig "e" "-o/mnt/.fw_update_dir" "/mnt/.fw_update_dir/TS-X51_20210406-4.5.2.1630.zip"
/proc/32292:/bin/sh
Uid: 0 0 0 0
/proc/31426:/home/httpd/cgi-bin/sys/sysRequest.cgi
Uid: 0 0 0 0
"

Vous avez un avis sur le sujet ? Je n'ose pas trop redémarrer pour le moment... Et question subsidiaire : j'ai une mise en veille automatique le soir. Techniquement ça équivaut à un redémarrage ? Vaut mieux la désactiver ?

Merci !!

 

[AntoineMasselot]

Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré

Bonjour,
Pour couper les accès extérieurs, il faut se déconnecter de myQNAPcloud ?
Il y a autre chose à faire ?

Merci

 

[Marmitte]

Enlève directement la prise RJ45 au cul du NAS. C'est radical et quelque sois la malice des hackers le plus sur a mon sens.

 

[AntoineMasselot]

Enlève directement la prise RJ45 au cul du NAS. C'est radical et quelque sois la malice des hackers le plus sur a mon sens.

J'y ai pensé mais imagine que le malware est là, il va crypter ton NAS qui est allumé et tu auras aucun moyen de vérifier ce qui se passe dessus...

 

[Flo21]

A tous ceux qui ont reçu une alerte ce matin(comme moi) sans trouver de traces de fichier .7z, certains forums anglophones pensent à des faux positifs :

https://forum.qnap.com/viewtopic.php?f=45&t=160849&start=360

 

[dginformatique]

Hello,
Je viens de faire un scan et j'ai aussi le MR2102 détecté à nouveau !
QNAP que doit-on faire ??
a++
Antoine

Idem de mon coté alors que je viens de réinitialiser le NAS !!!!

Idem de mon côté aussi sur 6 de mes 10 NAS...
Il semble qu'il le supprime à chaque fois.
Pourtant tout est à jour, certains NAS avaient été touchés auparavant et réinitialisés et d'autres ne l’avaient jamais eu.
Ça veut dire qu'il y a toujours des failles à mon avis. Je prie pour que rien de plus ne se passe car j'ai personnellement perdu plusieurs jours sur ca.

Je fais des sauvegardes des sauvegardes du coup...

 

[curt7477]

Bonjour à tous,

Afin de sécuriser mon Nas, qui peut me dire comment faire pour changer le port 443 par défaut ? Puis est-ce que je peux le remplacer par 1980 par ex ?

Par ailleurs, étant souvent à l'extérieur j'aimerais avoir accès à Qsync à distance, car je l'ai nstallé sur mon ordinateur (Windows10). Afin de synchroniser mes fichiers de mon ordinateur vers mon Nas quand je suis dehors.

Il y a-t-il une façon de faire cela de façon sécurisée?

Je vous remercie d'avance pour vos réponses

 

[bigorno]

Bonjour à tous,

Afin de sécuriser mon Nas, qui peut me dire comment faire pour changer le port 443 par défaut ? Puis est-ce que je peux le remplacer par 1980 par ex ?

Par ailleurs, étant souvent à l'extérieur j'aimerais avoir accès à Qsync à distance, car je l'ai nstallé sur mon ordinateur (Windows10). Afin de synchroniser mes fichiers de mon ordinateur vers mon Nas quand je suis dehors.

Il y a-t-il une façon de faire cela de façon sécurisée?

Je vous remercie d'avance pour vos réponses

Hello, pour changer les ports par défaut, il faut aller dans "Panneau de configuration" puis dans "Paramètres généraux". Là, vous avez accès aux ports http et https de l'interface web de gestion du NAS. Vous pouvez pour faire vite choisir n'importe quel port au hasard entre 1025 et 65535 (de mémoire). Mais je vous recommande d'utiliser plutôt des ports plus hauts, à partir de 50000. Pour Qsync, il prendra le port que vous allez assigner aux connexions https. Admettons 55203 par exemple. Il faut reconfigurer le client par contre. Il vaudrait mieux cependant utiliser un VPN pour synchroniser vos fichiers (pour le moment en tout cas).

 

[bigorno]

Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré

Bonjour,
Pour couper les accès extérieurs, il faut se déconnecter de myQNAPcloud ?
Il y a autre chose à faire ?

Merci

Bonjour, il n'est pas forcément nécessaire de couper le câble. Certes c'est absolu comme protection, y'a pas mieux, mais il est possible également de modifier la passerelle par défaut. Alors cette solution n'est pas universelle. Mais en gros, elle fonctionne pour un NAS qui fait partie d'un réseau local, mais qui n'en est pas la passerelle. Ca va empêcher les connexions entrantes et sortantes venant du net. Je simplifie volontairement les choses pour aller vite.

 

[metalx94]

Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré

Bonjour,
Pour couper les accès extérieurs, il faut se déconnecter de myQNAPcloud ?
Il y a autre chose à faire ?

Merci

Bonjour, il n'est pas forcément nécessaire de couper le câble. Certes c'est absolu comme protection, y'a pas mieux, mais il est possible également de modifier la passerelle par défaut. Alors cette solution n'est pas universelle. Mais en gros, elle fonctionne pour un NAS qui fait partie d'un réseau local, mais qui n'en est pas la passerelle. Ca va empêcher les connexions entrantes et sortantes venant du net. Je simplifie volontairement les choses pour aller vite.

Sur ton routeur/firewall, tu dois enlever la redirection de port. ou la solution de bigorno

 

[schwinny]

Bonsoir.

Ayant eu l'info jeudi dernier, j'avis fait l'ensemble des Mises a jour sur les nas de mes clients + Malware remover --> RAS.

Malware remover se lance chaque matin -> RAS ce matin.

Ce midi, alerte chez l'un de mes clients.

je me connecte a l'ensemble --> Sur 15 nas chez mes clients je relance Malwareremover--> 13 m'alerte qu'ils ont shooter le MR2102.

WHATS THE F.... ?????

je pense que la MAJ de MalwareRemover a du la detecter

Par contre, aucun fichier n'est crypté, aucun readme sur les repertoires....

Ma conf de base:

Ports d'acces modifié + HTTPS par défaut
Les MAJS d'os sont en automatique.
Les MAJS d'apps sont en automatique
sauvegarde chaque soir sur HDD externe et échange des HDD chaque semaine
Compte Admin désactivé.



Je pense que le dernier point a du sauver les datas.

J'espere ne pas avoir du nouveau demain....


En attendant, j'ai en plus activé sur les conseils de @qoolbox le par feu qufirewall pour n'autoriser que les IP française et a terme que la mienne depuis l'extérieur....


Si ce que je lit est vrai, la faille est inadmissible mais gardez a l'esprit que Stephane et son collègue (dont je mange le nom a chaque fois) font vraiment le max et que la situation n'est vraiment pas facile pour eux en ce moment... !!!

 

[AntoineMasselot]

Bonjour,
Pour couper les accès extérieurs, il faut se déconnecter de myQNAPcloud ?
Il y a autre chose à faire ?

Merci

Bonjour, il n'est pas forcément nécessaire de couper le câble. Certes c'est absolu comme protection, y'a pas mieux, mais il est possible également de modifier la passerelle par défaut. Alors cette solution n'est pas universelle. Mais en gros, elle fonctionne pour un NAS qui fait partie d'un réseau local, mais qui n'en est pas la passerelle. Ca va empêcher les connexions entrantes et sortantes venant du net. Je simplifie volontairement les choses pour aller vite.

Sur ton routeur/firewall, tu dois enlever la redirection de port. ou la solution de bigorno

Bonjour et merci pour vos réponses.

Alors sur mon routeur, je n'ai aucune redirection de port pour mon NAS, tout est automatique
Pour changer la passerelle ç ase passe où ?

Pour le moment, voilà ce que j'ai fait :

Dans myQNAPcloud Linkj'ai désactivé le réachemonement de port UPnP eet j'ai desactivé myQNAOcloud Link

Je n'arrive plus à me connecter de l'extérieur, ni par myqnapcloud, ni par Qfile, ni par Qmanager, donc je pense que je suis OK pour le moment.

Vous en pensez quoi ?

a++

 

[Flo21]

Bonjour, il n'est pas forcément nécessaire de couper le câble. Certes c'est absolu comme protection, y'a pas mieux, mais il est possible également de modifier la passerelle par défaut. Alors cette solution n'est pas universelle. Mais en gros, elle fonctionne pour un NAS qui fait partie d'un réseau local, mais qui n'en est pas la passerelle. Ca va empêcher les connexions entrantes et sortantes venant du net. Je simplifie volontairement les choses pour aller vite.

Sur ton routeur/firewall, tu dois enlever la redirection de port. ou la solution de bigorno

Bonjour et merci pour vos réponses.

Alors sur mon routeur, je n'ai aucune redirection de port pour mon NAS, tout est automatique
Pour changer la passerelle ç ase passe où ?

Pour le moment, voilà ce que j'ai fait :

Dans myQNAPcloud Linkj'ai désactivé le réachemonement de port UPnP eet j'ai desactivé myQNAOcloud Link

Je n'arrive plus à me connecter de l'extérieur, ni par myqnapcloud, ni par Qfile, ni par Qmanager, donc je pense que je suis OK pour le moment.

Vous en pensez quoi ?

a++

ça semble déjà une bonne étape. Tu devrais aussi changer les ports par défaut (type 8080, 443 dans Panneau de configuration // paramètres généraux) désactiver tous les services non utilisés.

Comme Schwinny, j'ai activé le parefeu Qnap avec filtre sur le réseau local et réactivé (en version essai pour le moment) l'antivirus McAfee (ça doit pas faire de mal).

Le fait que bcp d'utilisateurs aient été notifiés aujourd'hui sans trace de cryptage peut laisser penser à un faux positif de la part de Malware Remover aux différentes mises à jour mises en place par Qnap ces derniers jours/heures.

Mais c'est vrai que cela soulève pas mal de questions sur des solutions un peu clé en main que l'on pense sécurisées et très pratiques au quotidien. Un Nas non connecté à Internet de mon côté n'a aucun intérêt...

 

[AntoineMasselot]

Mes ports par défaut sont changés mais je vais encore modifier pour des numéros encore plus éclectiques !
Par contre, je n'avais jamais changer le profil admin, je vais le faire tout de suite.
Enfin il y a aussi la connexion en 2 étapes que je pense mettre en place. Même si ici je n'ai pas l'impression que ça aurait changé grand chose car quand j'ai regardé le journal de connexion à mon NAS, je n'ai rien vu d'anormal ....
a++

 

[bigorno]

Mes ports par défaut sont changés mais je vais encore modifier pour des numéros encore plus éclectiques !
Par contre, je n'avais jamais changer le profil admin, je vais le faire tout de suite.
Enfin il y a aussi la connexion en 2 étapes que je pense mettre en place. Même si ici je n'ai pas l'impression que ça aurait changé grand chose car quand j'ai regardé le journal de connexion à mon NAS, je n'ai rien vu d'anormal ....
a++

Contre une injection de code, la 2FA ne sert à rien ... Elle sert juste à se prémunir de l'ingénierie logiciel (usurpation d'identité).

 

[AntoineMasselot]

Je pense mettre tout de même la double authentification... ca ne coute pas grand grand chose. e
Finalement, comment ils ont injecté ce virus ?
Ca n'a pas l'air d'être par une authentification ?

 

[bigorno]

Juste pour rappel : ça ne touche pas que les NAS QNAP. https://www.nextinpact.com/article/...locker-et-demande-rancon-synology-nous-repond
Même si ça date de 2014, ça peut très bien vous toucher à l'avenir, si vous allez chez Synology. J'ai eu les 2, je n'ai d'actions chez aucun des deux, mais ce genre d'appliance, qui propose plein de services, qui les implémente de façon plus ou moins opaque, ça enlève la maîtrise de son informatique. C'est fait pour se simplifier la vie certes, et c'est bien. Mais voilà, c'est pas sans risque. La maîtrise, je la retrouve si j'administre moi-même un Linux où je sais ce que je mets en oeuvre et comment. C'est un arbitrage (entre temps et argent) que l'on doit faire, en conscience. Ce catastrophique épisode nous le rappelle.

 

[EVO]

Juste pour rappel : ça ne touche pas que les NAS QNAP. https://www.nextinpact.com/article/...locker-et-demande-rancon-synology-nous-repond

Ce n'est a mon sens pas comparable.
Dans le cas de Syno, le ransomware attaqué en août 2014 des NAS qui n'avais pas été mis a jour depuis décembre 2013 !

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

 

[bigorno]

Je pense mettre tout de même la double authentification... ca ne coute pas grand grand chose. e
Finalement, comment ils ont injecté ce virus ?
Ca n'a pas l'air d'être par une authentification ?

Voilà le mail que j'ai reçu de chez QNAP le 22 avril à 14h59 :

QNAP Security Advisory | Bulletin ID: QSA-21-13


Taipei, Taiwan, April 22, 2021 - QNAP® had published security enhancement against security vulnerabilities that could affect specific versions of QNAP products. Please use the following information and solutions to correct the security issues and vulnerabilities.

Hard-Coded Credentials Vulnerability in HBS 3 Hybrid Backup Sync

Release date: April 22, 2021
Security ID: QSA-21-13
Severity rating: Critical
CVE identifier: CVE-2021-28799
Affected products: QNAP NAS running HBS 3 Hybrid Backup Sync

Summary

A hard-coded credentials vulnerability has been reported to affect QNAP NAS running HBS 3 Hybrid Backup Sync.

If exploited, the vulnerability allows remote attackers to log in to a device with the hard-coded credentials.

We have already fixed this vulnerability in the following versions of HBS 3 Hybrid Backup Sync:

QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 and later
QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 and later
QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 and later
QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 and later
Recommendation

To fix the vulnerability, we recommend updating HBS 3 Hybrid Backup Sync to the latest version.

Updating HBS 3 Hybrid Backup Sync

Log on to QTS or QuTS hero as administrator.
Open the App Center and then click .
A search box appears.
Type “HBS 3 Hybrid Backup Sync” and then press ENTER.
HBS 3 Hybrid Backup Sync appears in the search results.
Click Update.
A confirmation message appears.
Note: The Update button is not available if your HBS 3 Hybrid Backup Sync is already up to date.
Click OK.
The application is updated.

Et d'autres infos ici (en anglais) :
https://www.bleepingcomputer.com/ne...attack-uses-7zip-to-encrypt-qnap-devices/#faq
https://www.qnap.com/de-de/security-advisories?ref=security_advisory_details
On en saura plus dans quelques jours. Peut-être une injection SQL ?

 

[bigorno]

Ce n'est a mon sens pas comparable.
Dans le cas de Syno, le ransomware attaqué en août 2014 des NAS qui n'avais pas été mis a jour depuis décembre 2013 !

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

Cette fois-là, ok, mais la prochaine ?