QNAP met en garde contre les vulnérabilités de ses produits logiciels NAS, notamment QTS, Quarts hero, QuTScloud et myQNAPcloud, qui pourraient permettre aux attaquants d’accéder aux appareils.
Le fabricant taïwanais de périphériques de stockage en réseau (NAS) a révélé trois vulnérabilités pouvant entraîner un contournement d’authentification, une injection de commande et une injection SQL.
Alors que les deux derniers nécessitent que les attaquants soient authentifiés sur le système cible, ce qui réduit considérablement le risque, le premier (CVE-2024-21899) peut être exécuté à distance sans authentification et est marqué comme « faible complexité. »
Les trois défauts corrigés sont les suivants:
- CVE-2024-21899: Des mécanismes d’authentification incorrects permettent à des utilisateurs non autorisés de compromettre la sécurité du système via le réseau (à distance).
- CVE-2024-21900: Cette vulnérabilité pourrait permettre à des utilisateurs authentifiés d’exécuter des commandes arbitraires sur le système via un réseau, ce qui pourrait entraîner un accès ou un contrôle non autorisé du système.
- CVE-2024-21901: Cette faille pourrait permettre aux administrateurs authentifiés d’injecter du code SQL malveillant via le réseau, compromettant potentiellement l’intégrité de la base de données et manipulant son contenu.
Les failles affectent différentes versions des systèmes d’exploitation de QNAP, y compris QTS 5.1.x, quart 4,5.x, héros des QUTS h5. 1.x, héros des QuTS h4. 5.x, QuTScloud c5.x, et le myQNAPcloud 1.0.service de x.
Il est recommandé aux utilisateurs de passer aux versions suivantes, qui corrigent les trois défauts:
- QTS 5.1.3.2578 build 20231110 et versions ultérieures
- QTS 4.5.4.2627 build 20231225 et versions ultérieures
- Cuts hero h5. 1. 3. 2578 build 20231110 et versions ultérieures
- Coupe le héros h4. 5. 4. 2626 build 20231225 et versions ultérieures
- QuTScloud c5. 1.5. 2651 et versions ultérieures
- myQNAPcloud 1.0.52 (24/11/2023) et versions ultérieures
Pour QTS, QUTS hero et QuTScloud, les utilisateurs doivent se connecter en tant qu’administrateurs, accéder à « Panneau de configuration > Système > Mise à jour du micrologiciel » et cliquer sur « Rechercher une mise à jour » pour lancer le processus d’installation automatique.
Pour mettre à jour myQNAPcloud, connectez – vous en tant qu’administrateur, ouvrez l’App Center, cliquez sur le champ de recherche et tapez « myQNAPcloud » + ENTRÉE. La mise à jour devrait apparaître dans les résultats. Cliquez sur le bouton « Mettre à jour » pour commencer.
Les périphériques NAS stockent souvent de grandes quantités de données précieuses pour les entreprises et les particuliers, y compris des informations personnelles sensibles, de la propriété intellectuelle et des données commerciales critiques. En même temps, ils ne sont pas étroitement surveillés, restent toujours connectés et exposés à Internet, et peuvent utiliser un système d’exploitation/micrologiciel obsolète.
Pour toutes ces raisons, les périphériques NAS sont souvent la cible de vols de données et d’extorsion.
Certaines opérations de ransomware précédemment connues pour cibler les appareils QNAP sont DeadBolt, Checkmate et Qlocker.
Ces groupes ont lancé de nombreuses vagues d’attaques contre les utilisateurs de NAS, exploitant parfois des exploits zero-day pour violer des appareils entièrement corrigés.
Le meilleur conseil pour les propriétaires de NAS est de toujours garder votre logiciel à jour, et encore mieux, de ne pas exposer ces types d’appareils à Internet.