Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1646 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Ransomware (.checkmate) sur mon NAS Zyxel 352

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ransomware (.checkmate) sur mon NAS Zyxel 352

n°1213792
brolysan2
Posté le 12-04-2023 à 18:51:07  profilanswer
 

Bonjour,
 
Je crois que je suis poursuivi par la poisse.
J'ai eu 2 disques durs infectés l'année dernière, par le ransomware 0XXX.
Peine perdu, j'ai du formater les disques durs.
 
ET ca recommences aujourd'hui.
3 disques durs infectés par le Ransomware (.checkmate).
 
Dégouté !
J'ai appelé Zyxel france et je cite :
 
Ceci étant dit, je me permets de vous signaler qu'un NAS est, par définition, un équipement vulnérable aux attaques informatiques : il ne peut pas se suffire à lui-même.
Si ce type d'équipement (NAS, serveurs, PC) est amené à stocker des données sensibles susceptibles d'être vitales à votre production, il vous faut absolument anticiper en mettant en place :
 
    Une politique de sécurité (par exemple PCA, PRA) ;
    Des équipements dédiés à cette sécurité (par exemple des Firewalls, une redondance d'équipements, une sauvegarde externalisée);
    Une limitation des accès aux réseaux (par exemple avec des logiciels UTM, des règles de routages, des VLAN);
    L'éducation de vos utilisateurs aux bons comportements.  
 
Mes propos sont d'autant plus importants que d'après vos dires, le NAS semble avoir été cryptolocké par un ransomware.  
Ce sont des attaques qui sont bien souvent le fruit d'un comportement défaillant d'utilisateur (ouverture d'une pièce jointe vérolée, clé USB vérolée, etc.).

 
en gros, nous sommes de "gros débiles" et c'est entièrement notre faute.
La seule chose que nous avons suivi est leur recommandations pour un partage d'accès via le port 21 pour un accès avec login/password.
Je regarde les logs sur le NAS, aucune connexion pendant l'heure et date indiquées par les fichiers vérolés.
 
Je pense que je peux faire une croix sur les fichiers (60% photos).
La seule chose, c'est comment me prémunir de nouveau?
Fermer définitivement le port 21 pour un accès extérieur (connexion via la freebox Delta)?
Changer de NAS?
 
sur mes 4 postes connectés sur le réseau, aucun n'est infecté pourtant. Que le NAS.... :cry:


Message édité par brolysan2 le 12-04-2023 à 18:51:38
mood
Publicité
Posté le 12-04-2023 à 18:51:07  profilanswer
 

n°1213793
Ivy gu
3 blobcats dans un trenchcoat
Posté le 12-04-2023 à 19:29:40  profilanswer
 

L'OS du NAS est encore supporté et maintenu à jour ? Si la réponse n'est pas "oui" à ces deux questions c'est très risqué de l'exposer sur internet d'une quelconque façon.

 

Ensuite, port 21 donc FTP ? Utiliser un protocole non chiffré en 2023 c'est rarement une bonne idée, il vaut mieux passer par du FTPS, SFTP, ou quelque chose sur HTTPS suivant ce que permet le NAS.

 

Tu as forwardé seulement le port 21 vers le NAS sur ta freebox ou tu en as forwardé d'autres, voire mis en place une DMZ ?

 

Il se peut aussi qu'il y ait une faille sur l'OS du NAS même s'il est à jour, tu peux toujours faire une recherche sur internet pour voir si tu trouves quelque chose. Ce n'est pas rare que ce genre de chose arrive, surtout sur du matériel destiné aux particuliers.

 

La Freebox ne permet pas de monter des VPNs ? Tu ne peux pas mettre ça en place et accéder à ton NAS via VPN quand tu es à l'extérieur ? Ça réduirait grandement les risques, Free a beaucoup plus de raisons de faire attention à la qualité de leur logiciel (et de maintenir leur parc à jour) que Zyxel qui n'en a plus grand chose à faire une fois que le matos est vendu.

 

Et attention quand tu dis qu'aucun PC de ton LAN n'est infecté. Je ne sais pas ce qui te fait penser cela mais penses-y à deux fois.

 

Tu avais formaté ton NAS quand il a été infecté la première fois ?


Message édité par Ivy gu le 12-04-2023 à 19:30:08

---------------
Impressive, very nice. Let's see Paul Allen's card.
n°1213800
brolysan2
Posté le 12-04-2023 à 23:04:20  profilanswer
 

Pour répondre à tes questions :
 
L'os semble à jour, firmware en tout cas et rien trouvé de plus récent sur le site web.
Le port 21 est le seul port où j'ai réussi à me connecter, que ce soit du https, de sftp, rien ne marchait.
Seul le port 21 est ouvert sur la box.
Je reste persuadé que le souci vient bien d'une faille du nas.
A lire ce genre d'article par exemple : https://www.qnap.com/en/security-advisory/QSA-22-21
 
Je vais regarder du côté des VPNs, voir comment je peux configurer tout ca.
Sinon, pour être clarifier, j'ai des postes sous Windows et Mac, tout a été contrôlé de nouveau, aucun fichier suspect et ayant des HDs de 6 et 8To sur 2 machines, aucune n'a de souci.
J'exclue donc (peut être à tort) l'infection.
Ce qui est étrange, c'est que sur la premiere attaque, ils n'ont contaminé que 2 HDs et sur la deuxième (avec un autre rancomware et différent dans les coordonnées pour les contacter), il y en a 3 sur les 4.
 
Je sens que je vais devoir changer de NAS et en prendre un plus sécuriser.

n°1214006
rat de com​bat
attention rongeur méchant!
Posté le 16-04-2023 à 17:43:02  profilanswer
 

Les NAS ça doit être comme des routeurs, y'a plus de trous que dans le fromage... :(  
Perso je ne prendrais pas le risque de connecter un NAS à internet, ou alors sur un réseau (virtuel) dédié, avec un accès par certificat/bidule (donc pas un simple mdp), un port non-standard (ça apporte peu mais réduit le spam dans les logs) et surtout des BACKUP externes et NON connectés au réseau (interne ou externe)!


---------------
Ne laissez pas mourir vos sujets en cours de route!
n°1214008
brolysan2
Posté le 16-04-2023 à 18:28:03  profilanswer
 

finalement, après discussion avec les pirates (en bois), c'est bien un défaut du NAS Zyxel.
En fait, impossible de désactiver le compte admin, comme cela qu'ils ont réussi à passer.
j'ai contacté Zyxel qui n'en a rien a "foutre", pas leur problème vu que le produit n'est plus sous garantie.
et dans les forums us, c'est clairement un défaut déjà évoqué et dont xyzel ne souhaite pas faire quelque chose.


Message édité par brolysan2 le 16-04-2023 à 18:28:45
n°1214010
rat de com​bat
attention rongeur méchant!
Posté le 16-04-2023 à 18:57:55  profilanswer
 

Ca confirme ce que je disais... :(


---------------
Ne laissez pas mourir vos sujets en cours de route!
n°1214013
brolysan2
Posté le 16-04-2023 à 19:24:00  profilanswer
 

rat de combat a écrit :

Ca confirme ce que je disais... :(


 
di coup, l'option pour la sécurité est présente sur les synologies.
je vais en changer la semaine prochaine.

n°1214015
rat de com​bat
attention rongeur méchant!
Posté le 16-04-2023 à 19:55:34  profilanswer
 

C'est pas parce que il y a une option "sécurité" que c'est sécurisée... Perso je ferais au moins une bonne recherche web concernant le NAS que je/tu veux acheter. Sinon peut-être, si tu t'y connais, un petit PC/SBC avec un Linux et ssh ou similaire?


---------------
Ne laissez pas mourir vos sujets en cours de route!
n°1214023
brolysan2
Posté le 16-04-2023 à 23:22:31  profilanswer
 

rat de combat a écrit :

C'est pas parce que il y a une option "sécurité" que c'est sécurisée... Perso je ferais au moins une bonne recherche web concernant le NAS que je/tu veux acheter. Sinon peut-être, si tu t'y connais, un petit PC/SBC avec un Linux et ssh ou similaire?


 
Ce n'est pas une sécurité, c'est simplement l'option pour désactiver le compte admin (selon les infos que m'ont communiqué les hackers).
C'est impossible sur le NAS Zyxel alors que oui sur les Synology.
 
Je ferai de toute façon ça en plus dès réception du nouveau NAS:  
juste activer un port avec une seule et unique adresse IP autorisée à s'y connecter.

n°1214024
rat de com​bat
attention rongeur méchant!
Posté le 17-04-2023 à 02:06:11  profilanswer
 

Ah ok. Les blackhats ont visiblement été bavards, je suis étonné. Après peut quand même y avoir des failles dans le truc, donc faut quand même faire des copies offline (désolé d'insister :o ) et comme je disais je ferais une recherche à ce sujet avant d'acheter. Y'a peut-être un topic NAS dédié aussi quelque part?


---------------
Ne laissez pas mourir vos sujets en cours de route!
mood
Publicité
Posté le 17-04-2023 à 02:06:11  profilanswer
 

n°1214025
dims
if it ain't brocken, mod it !
Posté le 17-04-2023 à 06:58:18  profilanswer
 

Bonjour,
 
si le sujet concerne bien le Zyxel 325 et non 352 (qui n'existe pas), il est non supporté depuis plusieurs années.
et avec des failles connues et exploitées.
 
par contre, moyennant un peu de temps et de connaissances, il est possible d'utiliser un firmware alternatif comme openwrt (https://openwrt.org/toh/hwdata/zyxel/zyxel_nsa325) ou un linux quelconque (debian) mais nettement moins facile à cause de la taille limitée de la ROM
 
il y a donc moyen d'avoir un truc réellement a jour a moindre cout.

n°1214028
brolysan2
Posté le 17-04-2023 à 09:14:06  profilanswer
 

dims a écrit :

Bonjour,
 
si le sujet concerne bien le Zyxel 325 et non 352 (qui n'existe pas), il est non supporté depuis plusieurs années.
et avec des failles connues et exploitées.
 
par contre, moyennant un peu de temps et de connaissances, il est possible d'utiliser un firmware alternatif comme openwrt (https://openwrt.org/toh/hwdata/zyxel/zyxel_nsa325) ou un linux quelconque (debian) mais nettement moins facile à cause de la taille limitée de la ROM
 
il y a donc moyen d'avoir un truc réellement a jour a moindre cout.


 
Tu as parfaitement raison, sur la dénomination du NAS. Je me suis mélangé les pinceaux.  :jap:  
Mais trouves tu cela normal que ce soit les utilisateurs qui doivent trouver des solutions pour sécuriser ce NAS et non le support technique de Zyxel?
Merci pour le firmware, je vais regarde ça avec attention !
J'ai quand même trouver un Synology à 200 balles (4 baies) et assez récent.
Je vais quand même regarder ce firmware et tester de le mettre à jour.
 
 :jap:

n°1214038
Ivy gu
3 blobcats dans un trenchcoat
Posté le 17-04-2023 à 10:16:34  profilanswer
 

si tu comptes le garder longtemps regarde la durée de support car il me semble que synology a tendance à avoir des durées de support pas trop longues, donc tu peux te retrouver rapidement dans le même cas de matos non supporté (et donc à risque) au final.


---------------
Impressive, very nice. Let's see Paul Allen's card.
n°1214042
dims
if it ain't brocken, mod it !
Posté le 17-04-2023 à 10:45:47  profilanswer
 

Synology c'est plutôt l'inverse !
un DS213J (donc de 2013) est toujours supporté et pour un bout de temps encore (DSM6.2 jusque juin, DSM7.X pour une durée encore non indiquée)
 
ça fait donc au minimum 10 ans. je ne connais pas d'autres marques qui ont une durée de support aussi longue.

n°1214044
Ivy gu
3 blobcats dans un trenchcoat
Posté le 17-04-2023 à 10:48:45  profilanswer
 

au temps pour moi alors, je dois confondre avec une autre marque.


---------------
Impressive, very nice. Let's see Paul Allen's card.
n°1214045
dims
if it ain't brocken, mod it !
Posté le 17-04-2023 à 10:55:45  profilanswer
 

brolysan2 a écrit :


Mais trouves tu cela normal que ce soit les utilisateurs qui doivent trouver des solutions pour sécuriser ce NAS et non le support technique de Zyxel?
 


les produits ont tous une durée de vie, particulièrement en informatique (ton NAS date de 2012 et est hors support depuis 2018)
c'est pareil pour Windows (10ans).
passé ce délai, plus de mises a jour et toutes failles détectées ne seront plus corrigées et donc exploitées.
 
à partir de la, il faut bien choisir le produit (typiquement les marques proposant la durée de support la plus longue), faire les mises a jour régulièrement (automatiquement), et surtout éviter d'exposer ce genre de trucs en direct sur le net !!! (valable pour n'importe quoi, a jour ou pas)

n°1214073
brolysan2
Posté le 17-04-2023 à 18:04:29  profilanswer
 

selon les retours que j'ai eu, les 2 attaques ont réussi a cause du compte admin.
Sur le NAS de Xyzel, il est impossible de le désactiver, alors que sur les Synology (en principe) oui.
c'est déjà impensable ça.

n°1214096
rat de com​bat
attention rongeur méchant!
Posté le 17-04-2023 à 21:33:02  profilanswer
 

Juste une pensée: Les blackhats et leur ransomware ont pour but de se faire du fric, du coup il ne vont pas forcément te dire la vérité ou toute la vérité. Autrement dit, peut-être en effet sur le NAS X il sont passés par le compte admin qui ne peut pas se désactiver; mais rien ne dit que si tu le remplaces par un NAS Y ils n'ont pas une "astuce" aussi pour pirater ce dernier...


---------------
Ne laissez pas mourir vos sujets en cours de route!
n°1214110
brolysan2
Posté le 17-04-2023 à 23:37:16  profilanswer
 

faut bien à un moment essayer quelque chose, déjà non?
je vais quand même changer de NAS, et comme je viens de n'ouvrir qu'un seul port avec une adresse IP unique pour y accéder, on verra bien ensuite si ca tient.
Le cloud aussi est devenu mon "ami", même si je n'affectionne pas à 100%.

n°1214572
brolysan2
Posté le 24-04-2023 à 12:52:30  profilanswer
 

dims a écrit :

Bonjour,
 
si le sujet concerne bien le Zyxel 325 et non 352 (qui n'existe pas), il est non supporté depuis plusieurs années.
et avec des failles connues et exploitées.
 
par contre, moyennant un peu de temps et de connaissances, il est possible d'utiliser un firmware alternatif comme openwrt (https://openwrt.org/toh/hwdata/zyxel/zyxel_nsa325) ou un linux quelconque (debian) mais nettement moins facile à cause de la taille limitée de la ROM
 
il y a donc moyen d'avoir un truc réellement a jour a moindre cout.


 
J'ai tenté de voir pour mettre à jour via openwrt, pas réussi à comprendre comment flasher avec le fichier .bin
 
ca commence bien.... :lol:

n°1214725
nico4711
Posté le 26-04-2023 à 00:14:50  profilanswer
 

Bonjour Monsieur B. C.,
 
Pour nos chers lecteurs, je tiens à préciser que je suis la personne chez le constructeur avec laquelle vous avez échangé initialement sur votre piratage de NAS.
Par respect pour vous et, surtout, pour la loi sur la correspondance privée (article 226-15 du code pénal), je me garderai de publier ces échanges ici.
 
Je souhaite répondre à ce thread en plusieurs points :
 
POINT 1
Pour donner le tableau complet à nos lecteurs, afin qu'ils puissent vous donner les bons conseils en réseau informatique, sachez que :

  • 2 piratages différents ont eu lieu sur 6 mois d'intervalle (quid d'une backdoor dormante sur le réseau après le 1er piratage, de comportements à risque d'utilisateurs, etc.);
  • l'on parle d'un NAS qui n'est plus supporté par nos services techniques depuis 2018 et qui n'a plus de MAJ depuis 3 ans (comme indiqué par dims. Donc oui, évidemment 1 malware sorti il y a moins d'un an est une menace potentielle non négligeable) ;
  • D'après les dires d'OP, des données sensibles étaient stockées sur le NAS ;
  • Sans copie de ceux-ci ;
  • Sans sécurisation, en amont, du réseau (comme l'indique rat de combat, ce n'est pas le taf du NAS);
  • Et que le malware Checkmate infecte les équipements avec des mots de passe "faible" grâce à la force brute (je cite votre lien vers QNAP : A new ransomware known as Checkmate has recently been brought to our attention. Preliminary investigation indicates that Checkmate attacks via SMB services exposed to the internet, and employs a dictionary attack to break accounts with weak passwords")


POINT 2
Je tiens juste à indiquer que dans votre mail initial vous me posez les questions suivantes :
"Maintenant, cela fait 2 attaques dont la dernière nous paralyse une grosse partie de notre activité. Que devons nous faire? Votre Nas n'est il pas assez performant et sécurisé du coup?"
 
Questions auxquelles j'ai simplement et naïvement apportée une réponse (que vous avez partiellement copié-collée, toujours malgré l'article 226-15 du Code pénal).  
Je rappelle donc dans mon mail quelques règles évidentes de sécurisation de vos données professionnelles tout en tentant d'être le plus bienveillant possible à votre égard.
Ces règles, je me serai également permis de vous les donner si vous m'aviez demandé mon avis il y a 10 ans, quand vous avez probablement acheté le NAS.
 
POINT 3
Je vous réitère mes conseils :

  • Mettez en place une stratégie de PRA ;
  • Mettez en place une double sauvegarde à distance de vos données critiques ;
  • Sécurisez en amont votre réseau. Ce n'est, à aucun moment, le rôle du serveur ou du NAS ;
  • N'installez pas des données critiques sur un équipement qui a plus de 10 ans et, ou qui n'a plus de support depuis 5 ans ;
  • Eduquez, conseillez, accompagnez vos utilisateurs (l'I2C c'est quelque chose de terrible de nos jours...);


POINT 4
Je suis sincèrement et profondément navré que la société qui vous emploie ait vécu ce piratage. Réellement.
Mais une fois de plus, ces piratages ne sont en rien la faute d'un équipement X ou Y, vendu par X ou Y.
 
Vous avez mes coordonnées directes si vous pensez toujours utile d'échanger avec moi de vive voix.


Message édité par nico4711 le 26-04-2023 à 00:15:47
n°1214733
brolysan2
Posté le 26-04-2023 à 09:42:27  profilanswer
 

Je vais me permettre alors de vous répondre, en étant le moins agressif possible, n'ayant pas du tout compris et encore apprécié la première réponse par nos échanges courts de mails.
 
Après avoir négocié pour récupérer certaines données, j'ai aussi eu l'information concernant le mode opératoire et je confirme, que malgré tout ce jolie "enrobage technique" qui pourrait flatter qu'un égo personnel, que le souci d'accès au NAS tient du fait que celui ci ne permet pas de désactiver le mode admin. Malgré le changement du mode de passe plusieurs fois de celui-ci, cela n'a pas empêché d'être cassé.
 
Les autres NAS (la majorité d'après mes maigres lectures) le font et d'après ce que j'ai lu, le firmware openwrt le permet lui.
Donc, malgré tout, le NAS en question n'est plus suffisamment sécurisé et ne l'a (peut être) au final jamais vraiment été.
 
Je synthétise aussi la réponse reçu à la base : ce n'est plus garantie, donc point d'aide et ce malgré "un défaut de base" exploité et exploitable maintenant.
 
Si j'ai mal interprété certaines réponses et manqué de "calme" sur une de mes réponses, j'en serai le premier à m'excuser mais j'ai beau relire, je comprends uniquement : plus garantie, point d'aide et apprenez à sécuriser vos données vous même sans devoir faire confiance à notre matériel de stockage.
 
J'ai basculé sur un Synology, où cette option est possible, fait en sorte que le mode admin soit désactivé et renforcé du mieux que possible l'accès à l'externe, en ajoutant une duplication des données sur un HD externe une fois par semaine.
 
Mais je pars toujours du principe qu'un matériel se doit être fonctionnel, je me refuse à "jeter" le NAS Xyzel, estimant que celui a toujours bien fonctionner hormis ce souci flagrant.
Et même s'il était toujours garantie, le fait que le mode admin ne peut être désactivé, qu'est ce que cela aurait changé? RIEN.
Retour à la case départ, le NAS n'est pas suffisamment sécurisé du fait que le mode opératoire sera le même en cas de nouvelle tentative (ayant une IP fixe).
 
Bonne journée malgré tout.


Message édité par brolysan2 le 26-04-2023 à 09:48:14
n°1214768
Je@nb
Modérateur
Kindly give dime
Posté le 26-04-2023 à 22:31:17  profilanswer
 

compte admin activé ou pas si le NAS est ouvert sur Internet, avec des comptes au mot de passe faible peu importe la marque tu l'auras dans le cul tôt ou tard.

n°1214782
brolysan2
Posté le 27-04-2023 à 09:39:43  profilanswer
 

on est totalement d'accord. Un mot de passe trop simple est hélas trop souvent employé.

n°1214789
ShonGail
En phase de calmitude ...
Posté le 27-04-2023 à 10:11:42  profilanswer
 

Il faut aussi activer les blocages automatiques après un certain nombre d'échecs de connexion.

n°1214793
ShonGail
En phase de calmitude ...
Posté le 27-04-2023 à 10:12:39  profilanswer
 

Et utiliser le conseiller de sécurité en mode entreprise.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Ransomware (.checkmate) sur mon NAS Zyxel 352

 

Sujets relatifs
Zyxel NAS326 créer un lien de téléchargementConseil achat NAS
Partage fichiers NAS Synology très lentNas storex 351,HS?
Accéder à des fichiers partagés impossible sur NASServeur NAS et accès fichiers
Recalbox et contenu sur NASNAS Synology DS720+ et bloqueur de pubs
[Resolu] Nas inaccessible2 NAS à deux endroits différents pour sauvegarde
Plus de sujets relatifs à : Ransomware (.checkmate) sur mon NAS Zyxel 352


Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)