QNAP a corrigé sept vulnérabilités zero-day que les chercheurs en sécurité ont exploitées pour pirater les périphériques de stockage en réseau (NAS) QNAP lors du concours Pwn2Own Ireland 2025.
Les failles ont un impact sur les systèmes d’exploitation QTS et QUTS hero de QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) et Hyper Data Protector de la société (CVE-2025-59389), Malware Remover (CVE-2025-11837) et HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842) logiciel.
QNAP a déclaré dans des avis publiés vendredi que les bogues de sécurité avaient été démontrés à Pwn2Own par l’équipe d’invocation, DEVCORE, l’équipe DDOS et un stagiaire en technologie CyCraft.
Pour corriger ces failles de sécurité, QNAP recommande de mettre à jour le logiciel vers la dernière version et de modifier tous les mots de passe pour une sécurité accrue.
QNAP a corrigé toutes ces vulnérabilités dans les versions logicielles suivantes:
- Hyper Data Protector 2.2.4.1 et versions ultérieures
- Malware Remover 6.6.8.20251023 et versions ultérieures
- HBS 3 Hybrid Backup Sync 26.2.0.938 et versions ultérieures
- QTS 5.2.7.3297 build 20251024 et versions ultérieures
- Héros QuTS h5. 2. 7. 3297 build 20251024 et versions ultérieures
- Héros QuTS h5.3.1. 3292 build 20251024 et versions ultérieures
Les utilisateurs qui souhaitent mettre à jour leur système d’exploitation pour se connecter à QTS ou QUTS Hero en tant qu’administrateur doivent aller dans Panneau de configuration > Système > Mise à jour du micrologiciel et cliquer sur « Rechercher une mise à jour » sous Mise à jour en direct.
Pour mettre à jour les applications vulnérables, connectez-vous d’abord à QTS ou QUTS hero en tant qu’administrateur, puis ouvrez l’App Center et cliquez sur le bouton de recherche. Tapez le nom de l’application que vous souhaitez mettre à jour et appuyez sur ENTRÉE. Dans les résultats de la recherche, cliquez sur « Mettre à jour », puis confirmez l’action en cliquant sur « OK » dans le message de confirmation qui apparaît.
« Pour sécuriser votre appareil, nous vous recommandons de mettre régulièrement à jour votre système vers la dernière version afin de bénéficier des correctifs de vulnérabilité. Vous pouvez vérifier l’état du support produit pour voir les dernières mises à jour disponibles pour votre modèle de NAS », a déclaré QNAP.
Il y a un an, le fabricant de NAS a corrigé deux autres zero-days exploités lors du concours Pwn2Own Ireland 2024: une faiblesse d’injection de commandes du système d’exploitation (CVE-2024-50388) dans la solution de reprise après sinistre et de sauvegarde de données Hybrid Backup SYNC, et une vulnérabilité d’injection SQL (SQLi) (CVE-2024-50387) dans le service SMB de QNAP.
Aujourd’hui, QNAP a également publié QuMagie 2.7.0 avec des correctifs pour une vulnérabilité SQLi critique (CVE-2025-52425) dans sa solution de gestion et de partage de photos qui peut permettre à des attaquants distants d’exécuter du code ou des commandes non autorisés sur des appareils vulnérables.