Le cheval de Troie de cryptage Deadbolt (« boulon de fermeture ») exploite une faille de sécurité connue depuis deux jours dans le système d’exploitation QTS de QNAP. Tous les périphériques de stockage en réseau QNAP accessibles depuis Internet et qui n’ont pas encore été mis à jour avec la dernière version de QTS sont menacés.
Sommaire
Maîtriser la menace par la contrainte
Comme heise online l’a déjà rapporté, QNAP a recommandé aux exploitants des systèmes concernés de désactiver dans un premier temps toutes les redirections de port dans le routeur, dans la mesure où le scan via « Security Counselor » indique une accessibilité via HTTP. Ensuite, il est conseillé de passer immédiatement à la dernière version de QTS (5.0.0.1891 build 20211221).
Il semble que les propriétaires de ces appareils hésitent à prendre ces contre-mesures et ces mises à jour, voire ne les prennent pas du tout, de sorte que QNAP a décidé de forcer l’installation de la mise à jour vers la nouvelle version. Il semble que l’on ait estimé qu’il n’y avait pas d’autre moyen de maîtriser la situation en matière de menaces.
Pertes de friction – interventions manuelles nécessaires
Comme on peut presque l’imaginer, une telle mesure ne se déroule pas totalement sans heurts avec une base d’utilisateurs aussi importante : dans certains cas, par exemple, la connexion iSCSI a été temporairement paralysée par la mise à jour et a nécessité une intervention manuelle pour être à nouveau utilisable.
Les cas des utilisateurs dont le NAS était déjà infecté par Deadbolt et qui avaient déjà payé la rançon sont toutefois plus critiques. Ceux-ci ont rapporté que la mesure coercitive avait entraîné chez eux des pertes de données, car la mise à jour a supprimé sans demande la clé achetée ainsi que le logiciel de décryptage correspondant des maîtres chanteurs et a fini par déclencher un redémarrage. Ceux qui se trouvent dans cette situation devraient donc se demander s’il ne vaut pas mieux déconnecter le système d’Internet ou au moins bloquer dans le pare-feu les connexions aux serveurs de mise à jour de QNAP pendant que le décryptage est en cours.
Le fabricant veut stopper l’attaque le plus rapidement possible
Interrogé sur le dilemme de faire éventuellement plus de mal que de bien avec une mise à jour déployée de force dans certains cas, un employé de QNAP a répondu comme suit : « Je sais qu’il y a des arguments dans les deux sens pour savoir si nous devons le faire ou pas. C’est une décision difficile. Mais à cause de Deadbolt et de notre intention de mettre fin à cette attaque le plus rapidement possible, nous l’avons fait ».
On pourrait dire que QNAP était ici confronté à une variante numérique du problème bien connu des trolleys. Les utilisateurs touchés par la perte de données jugeront naturellement différemment si la solution choisie était la bonne que ceux pour qui la mise à jour s’est déroulée sans problème et qui sont désormais protégés contre Deadbolt.