QNAP a publié des bulletins de sécurité au cours du week-end, qui traitent de multiples vulnérabilités, y compris trois failles de gravité critique que les utilisateurs doivent corriger dès que possible.
À partir de QNAP Notes Station 3, une application de prise de notes et de collaboration utilisée dans les systèmes NAS de l’entreprise, les deux vulnérabilités suivantes l’affectent:
- CVE-2024-38643 – Une authentification manquante pour des fonctions critiques pourrait permettre à des attaquants distants d’obtenir un accès non autorisé et d’exécuter des fonctions système spécifiques. L’absence de mécanismes d’authentification appropriés permet aux attaquants d’exploiter cette faille sans informations d’identification préalables, entraînant une compromission potentielle du système. (Score CVSS v4: 9,3, « critique »)
- CVE-2024-38645 – Vulnérabilité de falsification de requête côté serveur (SSRF) qui pourrait permettre à des attaquants distants disposant d’informations d’authentification d’envoyer des requêtes contrefaites qui manipulent le comportement côté serveur, exposant potentiellement des données d’application sensibles.
QNAP a résolu ces problèmes dans Notes Station 3 version 3.9.7 et recommande aux utilisateurs de passer à cette version ou à une version ultérieure pour atténuer le risque. Des instructions sur la mise à jour sont disponibles dans ce bulletin.
Les deux autres problèmes répertoriés dans le même bulletin, CVE-2024-38644 et CVE-2024-38646, sont des problèmes d’injection de commandes de gravité élevée (score CVSS v4: 8,7, 8,4) et d’accès non autorisé aux données qui nécessitent un accès de niveau utilisateur pour exploiter.
Défauts de QuRouter
La troisième faille critique corrigée samedi par QNAP est la CVE-2024-48860, affectant QuRouter 2.4.produits x, la gamme de routeurs sécurisés à haut débit de QNAP.
La faille, classée 9,5 « critique » selon CVSS v4, est une faille d’injection de commandes du système d’exploitation qui pourrait permettre à des attaquants distants d’exécuter des commandes sur le système hôte.
QNAP a également corrigé un deuxième problème d’injection de commandes moins grave, CVE-2024-48861, les deux problèmes étant résolus dans la version 2.4.3.106 de QuRouter.
Autres correctifs de QNAP
Les autres produits qui ont reçu des correctifs importants ce week-end sont QNAP AI Core (moteur d’IA), QuLog Center (outil de gestion des journaux), QTS (système d’exploitation standard pour les périphériques NAS) et QUTS Hero (version avancée de QTS).
Voici un résumé des défauts les plus importants qui ont été corrigés dans ces produits, avec une cote CVSS v4 comprise entre 7,7 et 8,7 (élevée).
- CVE-2024-38647: Problème d’exposition des informations qui pourrait permettre à des attaquants distants d’accéder à des données sensibles et de compromettre la sécurité du système. La faille affecte la version 3.4 de QNAP AI Core.x et a été résolu dans la version 3.4.1 et versions ultérieures.
- CVE-2024-48862: Faille de suivi de lien qui pourrait permettre à des attaquants distants non autorisés de parcourir le système de fichiers et d’accéder ou de modifier des fichiers. Cela a un impact sur les versions 1.7 de QuLog Center.x et 1.8.x, et a été corrigé dans les versions 1.7.0.831 et 1.8.0.888.
- CVE-2024-50396 et CVE-2024-50397: Mauvaise gestion des chaînes de format contrôlées de l’extérieur, ce qui pourrait permettre aux attaquants d’accéder à des données sensibles ou de modifier la mémoire. CVE-2024-50396 peut être exploité à distance pour manipuler la mémoire système, tandis que CVE-2024-50397 nécessite un accès au niveau de l’utilisateur. Les deux vulnérabilités ont été résolues dans QTS 5.2.1.2930 et Cuts hero h5. 2. 1. 2929.
Il est fortement conseillé aux clients de QNAP d’installer les mises à jour dès que possible pour rester protégés contre d’éventuelles attaques.
Comme toujours, les appareils QNAP ne doivent jamais être connectés directement à Internet et doivent plutôt être déployés derrière un VPN pour empêcher l’exploitation à distance des failles.