Chaque année, Pwn2Own attire la communauté de la cybersécurité avec la découverte de vulnérabilités critiques dans des appareils et logiciels du quotidien. Du 22 au 25 octobre dernier, l’édition irlandaise de Pwn2Own à Dublin a réuni experts et hackers éthiques pour tester la sécurité de divers équipements (NAS, routeurs, caméras IP, imprimantes), utilisés aussi bien par les entreprises que par les particuliers. Voici un aperçu des failles découvertes dans les produits de fabricants tels que QNAP, Synology, TrueNAS et Ubiquiti.
Qu’est-ce que le Pwn2Own ?
Pwn2Own est une compétition de cybersécurité lancée par la Zero Day Initiative (ZDI), une organisation de recherche en sécurité gérée par Trend Micro. Son objectif est simple : encourager les chercheurs en cybersécurité à identifier et exploiter des vulnérabilités dans des logiciels, systèmes d’exploitation et matériels populaires. Le matériel est généralement fourni par les fabricants pour mettre à l’épreuve leurs appareils. Les participants travaillent dans un cadre sécurisé, encadré et contraint, pour déceler des failles 0-day (vulnérabilités non documentées).
À la clé, il y a des récompenses attractives (en $) variant en fonction de la gravité et de l’impact de la faille détectée.
QNAP : Des vulnérabilités révélées
Le fabricant QNAP a particulièrement retenu l’attention des chercheurs en cybersécurité. Plusieurs équipes ont découvert des failles critiques permettant l’exécution de code à distance sur le NAS TS-464, ainsi que le routeur QHora-322.
QNAP a déjà publié une déclaration et a annoncé que des correctifs seraient déployés rapidement pour contrer ces menaces.
Synology : Une sécurité malmenée
Synology n’a pas été épargné. Les chercheurs ont révélé plusieurs failles permettant un accès non autorisé aux données stockées. Le fabricant a pris acte des découvertes et s’est engagé à renforcer ses mises à jour de sécurité dans les plus brefs délais. La caméra TC500 a été épinglée, ainsi que le DS1823xs+ et le BeeStation.
Synology a déjà mis à jour Synology Photos (Synology-SA-24:19) et BeePhotos (Synology-SA-24:18).
TrueNAS : Une faiblesse surprenante
TrueNAS a également été touché. Une faille d’élévation de privilèges a été identifiée, permettant à un attaquant ayant un accès limité d’obtenir des droits administratifs et de prendre le contrôle total du TrueNAS Mini X.
TrueNAS n’a pas encore communiqué.
Ubiquiti : Une porte difficile à ouvrir
La caméra de surveillance Ubiquiti AI Bullet a également été visée par de nombreuses attaques. Cependant, une seule équipe est parvenue à exploiter une faille dans le temps imparti.
Ubiquiti travaille actuellement au développement de correctifs pour sécuriser ses produits.
Conclusion et retombées de Pwn2Own Ireland 2024
L’édition 2024 de Pwn2Own Ireland met en lumière l’importance de la cybersécurité dans nos équipements du quotidien. Les failles découvertes montrent que nos appareils sont des cibles privilégiées pour les cybercriminels. Les découvertes réalisées pendant cette édition poussent les fabricants à améliorer encore plus leurs systèmes.
Nous vous rappelons de garder vos appareils à jour et d’appliquer les correctifs dès que possible…