Une nouvelle attaque cible des NAS QNAP pour les envoyer dans les mines contre leur gré...

Les labos de Qihoo 360 ont découvert que certaines références de NAS QNAP pouvaient être transformées en mineur de cryptomonnaies à l'insu de leur propriétaire.. Plutôt que de suivre la procédure habituelle consistant à donner une période de 90 jours aux constructeurs pour distribuer les correctifs auprès du public et avant toute communication publique, le 360Netlab a découvert la chose le 2 mars, puis en a informé QNAP le jour suivant et décidé de publier un bref billet d'information sur leur blog le 5 mars en raison d'un risque potentiellement important. Toutefois, sur demande de QNAP, les chercheurs se sont retenus pour l'instant de donner des détails techniques trop spécifiques sur leur découverte, spéculant aussi qu'il y aurait encore potentiellement des centaines de milliers de NAS QNAP actifs vulnérables en ligne — une fraction certes assez infime des 4 297 426 d'appareils que leur outil de sécurité a pu détecter (279 294 en France).

C'est le 2 mars que le système de détection de 360Netlab a commencé à rapporter les attaques en question, exploitant la vulnérabilité de l'exécution non autorisée d'une commande à distance (CVE-2020-2506 et CVE-2020-2507, connues depuis octobre 2020). En cas de succès, l'attaquant peut ensuite obtenir un accès privilégié à l'appareil et poursuivre son agenda, en l'occurrence dans ce cas précis l'installation d'un programme de minage baptisé UnityMiner. Un programme customisé capable de cacher toute information sur le processus de minage et son usage réel des ressources CPU dans l'interface de gestion Web du NAS, rendant de fait impossible pour l'utilisateur de détecter un comportement anormal du système. A priori, tous les NAS QNAP disposant d'un firmware antérieur à aout 2020 sont affectés par cette vulnérabilité. Si vous êtes dans ce cas, il va de soi qu'une mise à jour semble s'imposer !

Si un tel effort visant à détourner la puissance de calcul d'un NAS généralement équipé d'un CPU assez faible et certainement pas en mesure de gratter plus qu'une poignée de centimes par jour par exemple avec un algorithme tel que CryptoNightR (pour Monero) peut sembler vain, un réseau comptant des milliers de NAS infectés serait probablement tout de même capable de générer un certain revenu, sans trop d'efforts ni de frais pour le bénéficiaire, d'autant plus que les cours sont plutôt haussiers. Il n'y a pas de petits profits ! Il ne fait donc pas trop l'ombre d'un doute que l'objectif était de se constituer une ferme mondiale de NAS, et si ça peut marcher avec un QNAP, il y a des chances que ça puisse également fonctionner chez d'autres.

En fin de compte, s'il est clair qu'on est ici passé au niveau supérieur en matière de cryptojacking, avec la nouvelle explosion des cryptomonnaies déchainant plus que jamais les passions, il fallait évidemment s'attendre à ce que de nouvelles méthodes se fassent exploiter. Toutefois, le principe n'est absolument pas nouveau. En 2017 et 2018, c'était déjà l'ère du minage de cryptomonnaies silencieux sur des pages web comme ThePirateBay et même YouTube via des publicités, des popups invisibles, ou encore un bot de minage sur Messenger. Il y a aussi eu le cryptomineur intelligent Norman capable de planquer son processus pour échapper aux investigations d'un utilisateur, puis de le réinjecter. Bref, attendons-nous à ce que toutes ces manigances reviennent à la charge tant que la bulle continue à gonfler, si ce n'est déjà fait... Notre petit doigt nous dit qu'on a pas encore tout vu ! (Source)