Le fabricant d’appareils de stockage en réseau (NAS) QNAP a déclaré mercredi qu’il travaillait à la mise à jour de ses systèmes d’exploitation QTS et QuTS après que Netatalk a publié le mois dernier des correctifs pour contenir sept failles de sécurité dans son logiciel.
Netatalk est une implémentation open source du protocole Apple Filing Protocol (AFP), permettant aux systèmes d’exploitation de type Unix de servir de serveurs de fichiers pour les ordinateurs Apple macOS.
Le 22 mars 2022, ses responsables ont publié la version 3.1.13 du logiciel pour résoudre les problèmes de sécurité majeurs – CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022- 23124, CVE-2022-23125 et CVE-2022-0194 — qui pourraient être exploitées pour obtenir l’exécution de code arbitraire.
« Cette vulnérabilité [CVE-2022-23121] peut être exploitée à distance et ne nécessite pas d’authentification », ont noté les chercheurs du NCC Group le mois dernier. « Cela permet à un attaquant d’obtenir l’exécution de code à distance en tant qu’utilisateur » personne « sur le NAS. Cet utilisateur peut accéder à des partages privés qui nécessiteraient normalement une authentification. »
QNAP a noté que les vulnérabilités Netatalk affectent les versions de système d’exploitation suivantes –
QTS 5.0.x et versions ultérieures
QTS 4.5.4 et versions ultérieures
QTS 4.3.6 et versions ultérieures
QTS 4.3.4 et versions ultérieures
QTS 4.3.3 et versions ultérieures
QTS 4.2.6 et versions ultérieures
QuTS hero h5.0.x et versions ultérieures
QuTS hero h4.5.4 et versions ultérieures, et
QuTScloud c5.0.x
En attendant que les mises à jour soient disponibles, la société taïwanaise recommande aux utilisateurs de désactiver l’AFP. Les failles ont été corrigées jusqu’à présent dans QTS 4.5.4.2012 build 20220419 et versions ultérieures.
La divulgation arrive moins d’une semaine après que QNAP a déclaré qu’il enquêtait sur sa gamme de produits pour un impact potentiel résultant de deux vulnérabilités de sécurité qui ont été corrigées dans le serveur HTTP Apache le mois dernier.