QNAP a publié des correctifs de sécurité pour un deuxième bogue zero-day exploité par des chercheurs en sécurité lors du concours de piratage Pwn2Own de la semaine dernière.
Cette vulnérabilité critique d’injection SQL (SQLi), suivie sous le numéro CVE-2024-50387, a été trouvée dans le service SMB de QNAP et est désormais corrigée dans les versions 4.15.002 ou ultérieures et h4.15.002 et ultérieures.
La faille zero-day a été corrigée une semaine après avoir permis à YingMuo (travaillant avec le programme de stages DEVCORE) d’obtenir un shell racine et de prendre en charge un périphérique NAS QNAP TS-464 lors de Pwn2Own Ireland 2024.
Mardi, la société a corrigé un autre jour zéro dans sa solution de reprise après sinistre et de sauvegarde de données de synchronisation de sauvegarde hybride HBS 3, exploitée par l’équipe de Viettel Cyber Security chez Pwn2Own pour exécuter des commandes arbitraires et pirater un périphérique NAS TS-464.
L’équipe Viettel a remporté Pwn2Own Ireland 2024 après quatre jours de compétition, au cours desquels plus d’un million de dollars de prix ont été décernés aux pirates informatiques qui ont démontré plus de 70 vulnérabilités zero-day uniques.
Alors que QNAP a corrigé les deux vulnérabilités en une semaine, les fournisseurs prennent généralement leur temps pour publier des correctifs de sécurité après le concours Pwn2Own, étant donné qu’ils disposent de 90 jours avant que l’initiative Zero Day de Trend Micro publie des détails sur les bogues divulgués pendant le concours.
Pour mettre à jour le logiciel sur votre périphérique NAS, connectez-vous à QUTS hero ou QTS en tant qu’administrateur, accédez à l’App Center, recherchez « Service SMB » et cliquez sur « Mettre à jour. »Ce bouton ne sera pas disponible si le logiciel est déjà à jour.
Il est fortement recommandé d’appliquer rapidement des correctifs, car les appareils QNAP sont des cibles populaires pour les cybercriminels, car ils sont couramment utilisés pour sauvegarder et stocker des fichiers personnels sensibles. Cela en fait des cibles faciles pour l’installation de logiciels malveillants voleurs d’informations et le levier idéal pour forcer les victimes à payer une rançon pour récupérer leurs données.
Par exemple, en juin 2020, QNAP a mis en garde contre les attaques de ransomware eCh0raix, qui exploitaient les vulnérabilités de l’application Photo Station pour pirater et crypter les périphériques NAS QNAP.
QNAP a également alerté ses clients en septembre 2020 d’attaques de ransomware AgeLocker ciblant des périphériques NAS exposés publiquement exécutant des versions plus anciennes et vulnérables de Photo Station. En juin 2021, eCh0raix (QNAPCrypt) est revenu avec de nouvelles attaques exploitant des vulnérabilités connues et des comptes NAS à force brute utilisant des mots de passe faibles.
D’autres attaques récentes ciblant les appareils QNAP incluent les campagnes de ransomware DeadBolt, Checkmate et eCh0raix, qui ont abusé de diverses failles de sécurité pour crypter les données sur des périphériques NAS exposés à Internet.