NAS – Nouvelles failles chez QNAP, déjà corrigées

QNAP est à nouveau sous le feu des projecteurs pour nouvelles 2 failles de sécurité. Si rien ne prouve qu’elles ont pu être exploitées, le fabricant propose d’ores et déjà un correctif, même pour les anciens NAS (EOL). Explications…

2 failles sinon rien

Il y a quelques jours, nous vous annoncions que certains NAS QNAP avaient été détournés pour miner des cryptomonnaies. Les boîtiers ciblés disposaient d’une ancienne version de QTS (logiciel interne) et n’avaient pas été mis à jour depuis longtemps. Le fabricant avait pourtant mis à disposition un correctif, mais certains utilisateurs n’avaient pas pris le temps de l’appliquer.

QNAP fait de nouveau parler de lui et aujourd’hui, avec 2 failles découvertes par des chercheurs en sécurité (société Sam). Rassurez-vous, rien n’indique que ces dernières aient été exploitées pour le moment. Elles sont référencées sous :

  • CVE-2020-2509 : Vulnérabilité RCE (serveur web, port 8080)
  • CVE-2021-36195 : Vulnérabilité en écriture de fichier arbitraire (DLNA, port 8200)

Le sujet est très sensible. QNAP a d’ores et déjà mis à jour QTS pour combler ces 2 failles pour les NAS récents (QTS 4.5 en novembre 2020). Pour les NAS plus anciens, le fabricant fournit également des mises à jour correctives depuis mars pour de nombreux modèles (informations). Pensez à bien contrôler que vous disposez de la dernière version disponible de QTS pour votre NAS. Si elle n’est pas disponible pour votre NAS, patientez encore un peu… mais en attendant, il est fortement recommandé de ne plus exposer votre serveur sur internet.

Avec la démocratisation des NAS, il est indéniable que les chercheurs (et pirates) s’intéressent de près à nos boîtiers. Comme toujours, nous vous invitons à la plus grande prudence lorsque votre NAS (quel que soit le fabricant) est accessible depuis internet.

Rappels de sécurité avec un NAS

Nous vous rappelons les règles essentielles en matière de sécurité avec votre NAS :

  • Mettez à jour régulièrement le système et des applications ;
  • Installez uniquement des applications/packages dont la source est sûre ;
  • Activez le Firewall embarqué dans le NAS ;
  • Activez le blocage automatique d’adresses IP après plusieurs tentatives infructueuses ;
  • Choisissez un mot de passe fort avec au moins 8 caractères avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial ($ # + ! ; -) ;
  • Sauvegardez régulièrement vos fichiers les plus importants importants…

Pensez à lire (ou relire) notre article sur les 10 conseils sécurité pour votre NAS.