Un bug critique du jour zéro du NAS QNAP exploité pour fournir le rançongiciel DeadBolt

Une vulnérabilité critique de sécurité Zero Day dans les périphériques de stockage en réseau (NAS) de QNAP a été activement exploitée dans la nature pour fournir la variante du ransomware DeadBolt.

Le fournisseur a averti que l’exploitation avait été repérée pour la première fois au cours du week-end et que « la campagne semble cibler les appareils NAS QNAP exécutant Photo Station avec une exposition sur Internet ». Photo Station permet aux utilisateurs de stocker et de gérer de manière centralisée des photos en pleine résolution sur tous les appareils via le NAS QNAP.

QNAP garde secrets les détails du bug pour le moment, mais il a recommandé dans son avis
que les utilisateurs désactivent la fonction de redirection de port sur le routeur pour aider à atténuer leurs risques (tout en appliquant des mots de passe forts et en effectuant des sauvegardes régulières des données).

La découverte a également incité l’entreprise à publier un correctif d’urgence pour le micrologiciel. Les versions mises à jour sont :

• QTS 5.0.1 : Photo Station 6.1.2 et versions ultérieures
• QTS 5.0.0/4.5.x : Photo Station 6.0.22 et versions ultérieures
• QTS 4.3.6 : Photo Station 5.7.18 et versions ultérieures
• QTS 4.3.3 : Photo Station 5.4.15 et versions ultérieures
• QTS 4.2.6 : Photo Station 5.2.14 et versions ultérieures

Le gang DeadBolt a martelé durement les NAS QNAP cette année ; ce n'est que la dernière campagne utilisant des bugs dans le système pour infecter les appareils. Précédent des vagues d'exploitation ont été observées en mai en utilisant des vulnérabilités connues, et deux fois en juin.

DeadBolt se démarque des autres familles de ransomwares axées sur les NAS, selon les chercheurs noté plus tôt cette année, car il déploie un système à plusieurs niveaux destiné à la fois aux vendeurs et à leurs victimes, et offrant plusieurs options de paiement en crypto-monnaie.