Le rançongiciel DeadBolt exploite un bug corrigé en décembre

QNAP: DeadBolt ransomware exploits a bug patched in December

Le fabricant taïwanais de stockage en réseau (NAS) QNAP exhorte les clients à activer la mise à jour automatique du micrologiciel sur leurs appareils pour se défendre contre les attaques actives.

Selon la société, les attaquants ciblent une vulnérabilité corrigée en décembre, leur permettant d’exécuter du code arbitraire sur des systèmes vulnérables.

« Récemment, l’équipe de réponse aux incidents de sécurité des produits QNAP (PSIRT) a détecté que les cybercriminels profitent d’une vulnérabilité corrigée, décrite dans l’avis de sécurité QNAP (QSA-21-57), pour lancer une cyberattaque », a déclaré aujourd’hui le fabricant de NAS.

« Le 27 janvier 2022, QNAP a défini les versions corrigées du logiciel système comme ‘Version recommandée’. Si la mise à jour automatique de la ‘Version recommandée’ est activée sur votre NAS QNAP, le système se mettra automatiquement à jour vers certaines versions du système d’exploitation pour améliorer la sécurité et la protection de votre NAS QNAP, atténuant ainsi les attaques des criminels. »

Vous pouvez trouver plus d’informations sur la fonction de mise à jour automatique et comment elle peut être activée ou désactivée dans le communiqué de presse d’aujourd’hui.

Attaques de rançongiciel DeadBolt

Bien que la société n’ait pas nommé les acteurs de la menace derrière ces attaques en cours, l’avertissement intervient après une vague d’attaques ciblant les appareils QNAP exposés à Internet avec le rançongiciel DeadBolt et demandant aux victimes de payer 0,03 bitcoins (environ 1 100 $) pour une clé de déchiffrement.

Il a été révélé plus tard que la force QNAP avait installé la mise à jour nécessaire pour empêcher les attaquants d’exploiter le bug QSA-21-57 après que des milliers de clients aient vu leurs données chiffrées lors d’attaques DeadBolt.

QNAP a déclaré à EZpublish-france.fr qu’ils avaient installé cette mise à jour de force car ils pensaient que les acteurs de la menace utilisaient le vulnérabilité d’exécution de code à distance fixé dans le Micrologiciel 5.0.0.1891 version et mentionné dans l’annonce d’aujourd’hui.

Selon QNAP, le bug de sécurité a été corrigé dans les versions suivantes de QTS et QuTS hero :

  • QTS 5.0.0.1891 build 20211221 et versions ultérieures
  • QTS 4.5.4.1892 build 20211223 et versions ultérieures
  • QuTS hero h5.0.0.1892 build 20211222 et versions ultérieures
  • QuTS hero h4.5.4.1892 build 20211223 et versions ultérieures
  • QuTScloud c5.0.0.1919 build 20220119 et versions ultérieures

Cependant, un client dit dans le forum QNAP qu’ils étaient chiffrés même lorsque cette version du micrologiciel était installée, ce qui indique que les acteurs de la menace exploitent probablement une vulnérabilité différente.

Y compris l’alerte de ransomware DeadBolt, QNAP a émis trois avertissements au cours des 12 derniers mois pour alerter les clients des attaques de ransomware ciblant leurs appareils NAS exposés à Internet.

QNAP avait précédemment averti les utilisateurs des attaques de ransomware AgeLocker en avril et des attaques de ransomware eCh0raix en mai.