QNAP a corrigé une vulnérabilité critique de jour zéro exploitée jeudi par des chercheurs en sécurité pour pirater un périphérique NAS TS-464 lors de la compétition Pwn2Own Ireland 2024.

Répertoriée sous le numéro CVE-2024-50388, la faille de sécurité est causée par une faiblesse d’injection de commandes du système d’exploitation dans HBS 3 Hybrid Backup Sync version 25.1.x, la solution de reprise après sinistre et de sauvegarde des données de l’entreprise.

« Une vulnérabilité d’injection de commandes du système d’exploitation a été signalée pour affecter la synchronisation de sauvegarde hybride HBS 3. Si elle est exploitée, la vulnérabilité pourrait permettre à des attaquants distants d’exécuter des commandes arbitraires », a déclaré QNAP dans un avis de sécurité publié mardi.

La société a résolu le bogue de sécurité dans HBS 3 Hybrid Backup Sync 25.1.1.673 et versions ultérieures.

Pour mettre à jour HBS 3 sur votre périphérique NAS, connectez-vous à QTS ou QUTS hero en tant qu’administrateur, ouvrez l’App Center et recherchez « Synchronisation de sauvegarde hybride HBS 3 ».

Si une mise à jour est disponible, cliquez sur « Mettre à jour ». Cependant, le bouton « Mettre à jour » ne sera pas disponible si votre synchronisation de sauvegarde hybride HBS 3 est déjà à jour.

Le jour zéro a été corrigé cinq jours après avoir permis à Ha The Long et Ha Anh Hoang de Viettel Cyber Security d’exécuter du code arbitraire et d’obtenir des privilèges d’administrateur le troisième jour de Pwn2Own Ireland 2024.

​Cependant, après le concours Pwn2Own, les fournisseurs prennent généralement leur temps pour publier des correctifs de sécurité, sachant qu’ils disposent de 90 jours jusqu’à ce que l’initiative Zero Day de Trend Micro publie des détails sur les bogues de sécurité démontrés et divulgués pendant le concours.

L’équipe Viettel a remporté Pwn2Own Ireland 2024, qui s’est terminée après quatre jours de compétition, le vendredi 25 octobre. Plus de 1 million de dollars en prix ont été décernés aux pirates informatiques qui ont divulgué plus de 70 vulnérabilités zero-day uniques.

Il y a trois ans, QNAP a également supprimé un compte de porte dérobée dans sa solution de synchronisation de sauvegarde hybride (CVE-2021-28799), qui a été exploité avec une vulnérabilité d’injection SQL dans la Console multimédia et le Module complémentaire de streaming multimédia(CVE-2020-36195) pour déployer le ransomware Qlocker sur des périphériques NAS exposés à Internet pour crypter des fichiers.

Les appareils QNAP sont une cible populaire parmi les gangs de ransomwares car ils stockent des fichiers personnels sensibles, ce qui en fait un levier idéal pour forcer les victimes à payer une rançon pour déchiffrer les données.

En juin 2020, QNAP a mis en garde contre les attaques de ransomware eCh0raix exploitant des failles de sécurité de l’application Photo Station. Un an plus tard, eCh0raix (alias QNAPCrypt) est revenu dans des attaques exploitant des vulnérabilités connues et des comptes de force brute avec des mots de passe faibles.

QNAP a également alerté ses clients en septembre 2020 d’attaques de ransomware AgeLocker ciblant des périphériques NAS exposés publiquement exécutant des versions plus anciennes et vulnérables de Photo Station.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *