QNAP, fabricant taïwanais d’appareils de stockage en réseau (NAS), a déclaré mercredi qu’il était en train de corriger une vulnérabilité PHP critique vieille de trois ans qui pourrait être exploitée pour obtenir l’exécution de code à distance. « Une vulnérabilité a été signalée pour affecter les versions PHP 7.1.x inférieures à 7.1.33, 7.2.x inférieures à 7.2.24 et 7.3.x inférieures à 7.3.11 avec une configuration nginx incorrecte », a déclaré le fournisseur de matériel dans un avis. « Si elle est exploitée, la vulnérabilité permet aux attaquants d’obtenir l’exécution de code à distance. » La vulnérabilité, suivie comme CVE-2019-11043, est notée 9,8 sur 10 pour la gravité sur le système de notation des vulnérabilités CVSS. Cela dit, il est nécessaire que Nginx et php-fpm s’exécutent dans les appliances utilisant les versions de système d’exploitation QNAP suivantes –
- QTS 5.0.x et versions ultérieures
- QTS 4.5.x et versions ultérieures
- QuTS hero h5.0.x et versions ultérieures
- QuTS hero h4.5.x et versions ultérieures
- QuTScloud c5.0.x et versions ultérieures
« Comme QTS, QuTS hero ou QuTScloud n’ont pas nginx installé par défaut, les NAS QNAP ne sont pas affectés par cette vulnérabilité dans l’état par défaut », a déclaré la société, ajoutant qu’elle avait déjà atténué le problème dans les versions du système d’exploitation QTS 5.0.1.2034 build 20220515. et héros QuTS h5.0.0.2069 version 20220614. L’alerte survient une semaine après que QNAP a révélé qu’il « enquêtait de manière approfondie » sur une autre vague d’attaques de rançongiciel DeadBolt ciblant les appareils NAS QNAP exécutant des versions obsolètes de QTS 4.x. En plus d’exhorter les clients à passer à la dernière version des systèmes d’exploitation QTS ou QuTS hero, il est également recommandé que les appareils ne soient pas exposés à Internet. De plus, QNAP a conseillé aux clients qui ne peuvent pas localiser la note de rançon après la mise à niveau du micrologiciel de saisir la clé de déchiffrement DeadBolt reçue pour contacter le support QNAP pour obtenir de l’aide. « Si votre NAS a déjà été compromis, prenez la capture d’écran de la note de rançon pour conserver l’adresse bitcoin, puis mettez à niveau vers la dernière version du micrologiciel et l’application intégrée Malware Remover mettra automatiquement en quarantaine la note de rançon qui détourne la page de connexion », Ça disait.