Faille OpenSSH et NAS : Asustor impacté, QNAP peu impacté, Synology pas du tout

Une faille de sécurité critique a été découverte dans OpenSSH. Un attaquant non authentifié peut exécuter du code à distance avec les privilèges « root » sur une machine Linux. Il s’agit d’une vulnérabilité majeure pouvant avoir des répercussions graves. Un correctif a été fourni, mais il n’est pas encore disponible pour les NAS. Les boitiers Asustor sont impactés, les QNAP partiellement et Synology pas du tout.

Faille dans OpenSSH

OpenSSH (Open Secure Shell) permet de sécuriser les communications réseau via des protocoles de chiffrement, principalement utilisé pour les connexions à distance sur des serveurs Linux. Il remplace les protocoles non sécurisés comme Telnet et FTP en offrant des fonctionnalités telles que le transfert de fichiers sécurisé, la gestion des clés d’authentification et le tunneling sécurisé.

La vulnérabilité CVE-2024-6387 dans OpenSSH permet à un attaquant de contrôler un système Linux à distance avec les droits d’administrateur (« root« ) sans avoir besoin de se connecter. Cette faille est due à un problème de gestion des accès simultanés et touche la configuration standard du serveur sshd.

Impacts

Cette faille de sécurité permet à un attaquant de prendre le contrôle total d’un serveur Linux ou d’un NAS, compromettant ainsi toutes les données stockées. Elle permet également l’installation de logiciels malveillants ou l’effacement de fichiers critiques sans aucune autorisation préalable. En conséquence, la confidentialité, l’intégrité et la disponibilité des données sont gravement menacées.

ASUSTOR, QNAP et Synology

Toutes les versions d’OpenSSH ne sont pas impactées. Les versions d’OpenSSH comprises entre 8.5p1 et 9.7p1 sont vulnérables. Faisons un rapide état des lieux :

  • Les NAS Asustor sont impactés, car ADM utilise la version OpenSSH 9.5p1 ;
  • Les NAS QNAP ne sont pas impactés, car QTS 5.1 utilise la version OpenSSH 8.0p1 ;
  • Les NAS Synology ne sont pas impactés, car DSM 7.2 utilise la version OpenSSH 8.2p1.

À noter que QNAP QTS 5.2 RC (la prochaine version pour les NAS QNAP) est impacté. Un correctif sera disponible avant sa mise à disposition (public) pour tous. En attendant, QNAP QTS 5.1 utilise une ancienne version de février 2023 et Synology DSM 7.2 utilise une version de mai 2023. Comme quoi, ne pas être trop rapide peut avoir des avantages.

Nos recommandations

Nous vous en avons déjà parlé à plusieurs reprises : il ne faut rendre accessible son NAS que si l’on maîtrise ce que l’on fait. Ensuite, il ne faut jamais ouvrir le port SSH à l’extérieur… sauf dans de très rares cas. Une fois l’intervention ou l’opération effectuée, il faut absolument le fermer. Enfin, nous vous recommandons également de ne pas utiliser le port 22 par défaut pour SSH.