QNAP a récemment publié des correctifs de sécurité pour ses NAS. Il est fortement recommandé de mettre à jour QTS/QuTS hero ainsi que les différentes applications concernées. Au total, 13 correctifs sont disponibles, dont certaines adressent des vulnérabilités anciennes.
QNAP et 13 mises à jour de sécurité
QNAP a mis en ligne plusieurs correctifs de sécurité pour ses produits. La majorité des vulnérabilités sont classées au niveau « Moyen ». Cependant, plusieurs d’entre elles sont classées au niveau « Élevé », y compris certaines affectant QTS et QuTS hero. Examinons en détail le contenu de ces mises à jour :
- QTS et QuTS hero :
– Injection de commandes : Deux vulnérabilités d’injection de commandes (CVE-2023-34974 et CVE-2023-34979) pouvaient permettre à des attaquants d’injecter des commandes malveillantes. Ces vulnérabilités ont été corrigées dans les dernières versions des firmwares (QTS 4.5.4.2790 et QuTS hero h4.5.4.2790).
– Injection de commandes (bis) : d’anciennes versions de QTS pouvaient permettre à des attaquants avec des privilèges admin d’exécuter des commandes arbitraires sur le système. Cette faille a été corrigée dans les versions QTS 4.3.6.2805, 4.3.4.2814, 4.3.3.2784, et 4.2.6 build 20240618 et ultérieures.
– Exécution de code arbitraire : Plusieurs failles permettaient à des attaquants d’exécuter du code arbitraire ou d’injecter des commandes malveillantes (CVE-2024-32763, CVE-2024-38641, CVE-2024-21906). Ces vulnérabilités ont été corrigées dans les versions QTS 5.1.8.2823 et QuTS hero h5.1.8.2823.
– Restrictions d’authentification et autorisation : Une faille de restriction des tentatives d’authentification (CVE-2024-32771) permettait des attaques par force brute, et une vulnérabilité d’autorisation manquante (CVE-2023-39298) permettait un accès non autorisé aux données. Ces vulnérabilités ont été corrigées dans les versions QTS 5.2.0.2782 et QuTS hero h5.2.0.2782. - Download Station : Une vulnérabilité de type cross-site scripting (XSS) permettait à des attaquants d’injecter du code malveillant. Cette vulnérabilité a été corrigée dans la version 5.8.6.283 de Download Station.
- QuMagie : Une vulnérabilité liée à la validation incorrecte des certificats permettait à des attaquants de compromettre la sécurité du système. Cette vulnérabilité a été corrigée dans la version 2.3.1 de QuMagie.
- Video Station : Une vulnérabilité d’injection de commandes (CVE-2023-47563) permettait l’exécution de commandes arbitraires, et une vulnérabilité d’injection SQL (CVE-2023-50360) permettait l’injection de code malveillant. Ces vulnérabilités ont été corrigées dans la version 5.8.2 de Video Station.
- Music Station : Une vulnérabilité d’authentification incorrecte permettait à des attaquants de compromettre la sécurité du système. Cette vulnérabilité a été corrigée dans la version 5.4.0 de Music Station.
- Notes Station : Deux vulnérabilités de type cross-site scripting (XSS) permettaient à des attaquants distants d’injecter du code malveillant (CVE-2024-27122, CVE-2024-27126). Ces vulnérabilités ont été corrigées dans la version 3.9.6 de Notes Station 3.
- QVR Smart Client : Une vulnérabilité de chemin de recherche non sécurisé pouvait permettre l’exécution de code non autorisé. Elle a été corrigée dans la version 2.4.0.0570 et suivantes pour Windows 10 SP1, Windows 11 et macOS.
- Helpdesk : Une vulnérabilité de type cross-site scripting (XSS) permettait à des attaquants ayant un accès administrateur d’injecter du code malveillant. Cette vulnérabilité a été corrigée dans la version 3.3.1 de Helpdesk.
- QuLog Center : Une vulnérabilité de type cross-site scripting (XSS) permettait à des attaquants d’injecter du code malveillant. Cette vulnérabilité a été corrigée dans les versions 1.8.0.872 et 1.7.0.827 de QuLog Center.
- curl : Une vulnérabilité de débordement de tampon affectait certaines versions de QTS et QuTS hero. Cette vulnérabilité a été corrigée dans les versions QTS 5.1.7.2770 et QuTS hero h5.1.7.2770.
Vous l’aurez compris, il est fortement recommandé de mettre à jour le système de votre NAS pour bénéficier des correctifs de sécurité. C’est la même chose pour les paquets, vous ferez la mise à jour de ces derniers de l’App Center.
On appréciera que QNAP continue de mettre à jour (encore) ses anciens NAS, fonctionnant sous QTS 4.3.