La société taïwanaise QNAP a publié des mises à jour pour remédier à une faille de sécurité critique affectant ses périphériques de stockage en réseau (NAS) qui pourrait entraîner une injection de code arbitraire.
Suivi comme CVE-2022-27596, la vulnérabilité est notée 9,8 sur un maximum de 10 sur l’échelle de notation CVSS. Cela affecte QTS 5.0.1 et QuTS hero h5.0.1.
« Si elle est exploitée, cette vulnérabilité permet aux attaquants distants d’injecter du code malveillant », QNAP m’a dit dans un avis publié lundi.
Les spécificités techniques exactes entourant la faille ne sont pas claires, mais la base de données nationale des vulnérabilités (NVD) du NIST l’a classée comme une vulnérabilité d’injection SQL.
Cela signifie qu’un attaquant pourrait envoyer des requêtes SQL spécialement conçues de sorte qu’elles pourraient être militarisées pour contourner les contrôles de sécurité et accéder ou modifier des informations précieuses.
“Tout comme il peut être possible de lire des informations sensibles, il est également possible d’apporter des modifications ou même de supprimer ces informations avec une attaque par injection SQL”, selon MITRE.
La vulnérabilité a été corrigée dans les versions QTS 5.0.1.2234 build 20221201 et ultérieures, ainsi que QuTS hero h5.0.1.2248 build 20221215 et ultérieures.
Les vulnérabilités zero-day des appareils QNAP exposés ont été exploitées par DeadBolt rançongiciel acteurs pour pénétrer les réseaux cibles, ce qui rend essentiel la mise à jour vers la dernière version afin d’atténuer les menaces potentielles.
Pour appliquer les mises à jour, il est conseillé aux utilisateurs de se connecter à QTS ou QuTS hero en tant qu’administrateur, d’accéder à Panneau de configuration > Système > Mise à jour du micrologiciel et de sélectionner « Vérifier les mises à jour » dans la section « Mise à jour en direct ».
