Certains appareils NAS QNAP affectés par une vulnérabilité test, mises à jour disponibles dès maintenant

Some QNAP NAS devices affected by a critical vulnerability, updates available right now

Remise en contexte: Les périphériques de stockage en réseau (NAS) fabriqués par QNAP sont populaires pour les applications de partage de fichiers, de virtualisation, de surveillance et de gestion du stockage. La société est également connue pour ses versions boguées du firmware NAS, certains problèmes apportant des vulnérabilités importantes aux réseaux connectés à ces appareils.

Le fabricant de NAS basé à Taiwan, QNAP, exhorte les propriétaires d’appareils à effectuer les mises à jour du firmware dès que possible, car les cybercriminels pourraient facilement les compromettre grâce à une vulnérabilité de sécurité test récemment découverte. La faille fait partie de trois bugs récemment dévoilés que les développeurs ont déjà corrigés dans les nombreux systèmes d’exploitation d’applications réseau et cloud basés sur Linux de l’entreprise.

Un bulletin de sécurité (QSA-24-09) répertorie plusieurs failles affectant « certaines » versions du système d’exploitation. Le problème le plus grave (CVE-2024-21899) concerne une vulnérabilité d’authentification inappropriée qui pourrait permettre à des utilisateurs malveillants de compromettre la sécurité du NAS via un réseau. La base de données NIST attribue à la faille de sécurité un score « test » de 9,8, notant que des cybercriminels compétents (et motivés) pourraient facilement exploiter le bug.

Certains appareils NAS QNAP affectes par une vulnerabilite test mises

D’autres failles dans le logiciel de QNAP incluent une vulnérabilité d’injection (CVE-2024-21900) qui pourrait permettre aux utilisateurs authentifiés d’exécuter des commandes via un réseau et une vulnérabilité d’injection SQL (CVE-2024-21901) qui pourrait permettre aux administrateurs authentifiés d’injecter du code malveillant sur le réseau. Plateforme myQNAPcloud. Les deux failles ont un score NIST « moyen », ce qui signifie qu’elles ne devraient pas constituer la même menace majeure pour la sécurité du NAS que CVE-2024-21899.

La société a déjà publié un firmware mis à jour pour corriger les trois bugs et a marqué le bulletin de sécurité comme « Résolu ». Les produits concernés incluent QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x et myQNAPcloud 1.0.x. Les propriétaires et les administrateurs doivent immédiatement exécuter des tâches de mise à jour régulières pour leurs systèmes et applications NAS. Les dernières versions du firmware fourniront de précieux correctifs de sécurité et amélioreront leur expérience de stockage réseau.

Des instructions détaillées sur la découverte et l’installation du firmware récemment publié, avec différents chemins de mise à jour décrits pour QTS, QuTS hero, QuTScloud et la plateforme myQNAPcloud axée sur le cloud, sont disponibles. Les clients et les administrateurs système doivent parcourir la page d’état du support produit de QNAP pour voir les dernières mises à jour pour leur modèle de NAS spécifique.

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video