NAS – 3 failles de sécurité chez QNAP

Nouveau coup dur pour QNAP… L’éditeur d’antivirus F-Secure a détecté 3 failles de sécurité dans QTS 4.2. Combinées, ces dernières permettent de prendre la main du NAS à distance et de s’attribuer les droits admin !

3 failles dans QTS 4.2

Lors de l’examen du QNAP TVS-663 avec QTS 4.2, l’équipe de chercheurs a découvert 3 failles de sécurité. Conjointement, ces dernières peuvent être redoutables.
Harry Sintonen, Senior Security Consultant chez F-Secure explique « Ces vulnérabilités ne sont pas nécessairement dangereuses en soi. Mais les pirates peuvent, en les utilisant toutes à la fois, causer des dégâts considérables » et d’ajouter « Les plus doués savent que même les plus petites vulnérabilités peuvent constituer pour eux de vraies mines d’or, lorsqu’ils déploient le savoir-faire adéquat. »

Comment ça marche ?

Le NAS envoie régulièrement une requête de mise à jour vers QNAP. Cette dernière n’est pas chiffrée/cryptée. Cela permet à un pirate de modifier la réponse à cette requête avec un exploit déguisé en mise à jour du firmware. La fausse mise à jour va tromper NAS, qui va immédiatement tenter de l’installer. Aucune mise à jour n’est installée, cependant l’exploit a compromis le système.

Alerte

Ce n’est pas la première que des experts en sécurité trouvent des failles de sécurité sur NAS… Tous les constructeurs sont concernés. F-Secure découvre des failles régulièrement (Windows, Firefox, Chrome, macOS, Linux…) et ce dernier transmet toutes les informations pour les reproduire aux éditeurs des logiciels. Ces derniers n’ont plus qu’à boucher les failles (plus facile à dire qu’à faire) et fournir une mise à jour. C’est ce que F-Secure a fait avec QNAP. Les informations ont été transmises en février 2016 et… le constructeur n’a semble-t-il rien fait. Tous les NAS tournant avec QTS 4.2 seraient donc vulnérables (information à confirmer).

Conseils

En attendant un correctif de la part de QNAP, il est vivement conseillé de désactiver la mise à jour automatique et d’installer manuellement (depuis le site officiel) les nouvelles versions de QTS. La question que l’on peut se poser est : « Est-ce que QTS 4.3 est vulnérable également ? » Au regard de la release note disponible ici ce n’est pas encore le cas.

Nous avons contacté Qnap… le constructeur nous a annoncé qu’il ferait un retour officiel dans les prochaines heures (demain).

A noter, le constructeur est généralement transparent sur les failles puisqu’il met à disposition une page dédiée

[edit] QNAP a été très rapide… la page dédiée aux failles a été mise à jour et le constructeur de NAS annonce une correction de QTS 4.2.3 pour le 24 janvier et QTS 4.3.3 Beta 1 pour le 20 février

source