QNAP Systems a publié des avis de sécurité concernant deux vulnérabilités critiques d’injection de commandes qui affectent plusieurs versions du système d’exploitation et des applications QTS sur ses périphériques de stockage en réseau (NAS).

Le premier défaut est suivi comme CVE-2023-23368 et a un indice de gravité critique de 9,8 sur 10. Il s’agit d’une vulnérabilité d’injection de commandes qu’un attaquant distant peut exploiter pour exécuter des commandes via un réseau.

Les versions de QTS concernées par le problème de sécurité sont QTS 5.0.x et 4.5.x, QuTS hero h5.0.x et h4.5.x et QuTScloud c5.0.1.

Les correctifs sont disponibles dans les versions suivantes :

• QTS 5.0.1.2376 build 20230421 et versions ultérieures
• QTS 4.5.4.2374 build 20230416 et versions ultérieures
• QuTS Hero h5.0.1.2376 build 20230421 et versions ultérieures
• Héros QuTS h4.5.4.2374 build 20230417 et versions ultérieures
• QuTScloud c5.0.1.2374 et versions ultérieures

La deuxième vulnérabilité est identifiée comme CVE-2023-23369 et a un indice de gravité inférieur de 9,0 et pourrait également être exploité par un attaquant distant dans le même but que le précédent.

Les versions QTS concernées incluent 5.1.x, 4.3.6, 4.3.4, 4.3.3 et 4.2.x, Multimedia Console 2.1.x et 1.4.x, ainsi que le module complémentaire Media Streaming 500.1.x et 500.0.x.

Les correctifs sont disponibles dans :

• QTS 5.1.0.2399 build 20230515 et versions ultérieures
• QTS 4.3.6.2441 build 20230621 et versions ultérieures
• QTS 4.3.4.2451 build 20230621 et versions ultérieures
• QTS 4.3.3.2420 build 20230621 et versions ultérieures
• QTS 4.2.6 build 20230621 et versions ultérieures
• Console multimédia 2.1.2 (04/05/2023) et versions ultérieures
• Console multimédia 1.4.8 (05/05/2023) et versions ultérieures
• Module complémentaire Media Streaming 500.1.1.2 (2023/06/12) et versions ultérieures
• Module complémentaire Media Streaming 500.0.0.11 (2023/06/16) et versions ultérieures

Pour mettre à jour QTS, QuTS hero ou QuTScloud, les administrateurs peuvent se connecter et accéder à Panneau de configuration > Système > Mise à jour du micrologiciel, puis cliquer sur « Rechercher les mises à jour » sous Live Update pour télécharger et installer la dernière version. Des mises à jour sont également disponibles sous forme de téléchargements manuels sur le site Web de QNAP.

La mise à jour de la console multimédia est possible en recherchant l’installation dans l’App Center et en cliquant sur le bouton « Mettre à jour » (disponible uniquement si une version plus récente existe). Le processus est similaire pour la mise à jour du module complémentaire Media Streaming, que les utilisateurs peuvent également localiser en effectuant une recherche dans l’App Center.

Étant donné que les appareils NAS sont généralement utilisés pour stocker des données, les failles d’exécution des commandes pourraient avoir un impact sérieux, car les cybercriminels recherchent souvent de nouvelles cibles sur lesquelles voler et/ou chiffrer des données sensibles. Les attaquants peuvent alors exiger une rançon de la victime pour ne pas divulguer les données ou pour les décrypter.

Les appareils QNAP ont été la cible d’attaques de ransomware à grande échelle dans le passé. Il y a un an, le gang du ransomware Deadbolt a exploité une vulnérabilité zero-day pour chiffrer les appareils NAS exposés sur l’Internet public.

Cela dit, il est conseillé aux utilisateurs de QNAP d’appliquer les mises à jour de sécurité disponibles dès que possible.