IT-Connect » Actualités » Actu Cybersécurité » Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques !

Actu Cybersécurité 

Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques !

Florian BURNEL 363 Views Aucun commentaire , , , 2 min read

Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.

QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.

Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.

Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.

Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

  • QTS 5.1.x et QTS 4.5.x
  • QuTS hero h5.1.x et QuTS hero h4.5.x
  • QuTScloud c5.x
  • myQNAPcloud 1.0.x

Comment se protéger ?

Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :

  • QTS 5.1.3.2578 build 20231110 et supérieur
  • QTS 4.5.4.2627 build 20231225 et supérieur 
  • QuTS hero h5.1.3.2578 build 20231110 et supérieur 
  • QuTS hero h4.5.4.2626 build 20231225 et supérieur 
  • QuTScloud c5.1.5.2651 et supérieur 
  • myQNAPcloud 1.0.52 (2023/11/24) et supérieur

Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5579.Voir tous les posts

Vous pourrez aussi aimer

Outil de déchiffrement LockBit 3.0

Opération Cronos – Ransomware LockBit 3.0 : un outil de déchiffrement est disponible !

Florian BURNEL 0
La certification OSCP

Sécurité offensive : comment se préparer pour obtenir la certification OSCP ?

Florian BURNEL 1

LastPass : des alertes e-mail qui sèment le doute auprès des utilisateurs

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.