Message d’intérêt public : Toute personne utilisant un NAS QNAP tout en exécutant nginx et php-fpm devrait probablement mettre à jour son firmware maintenant. QNAP a publié une mise à jour de sécurité corrigeant une vulnérabilité nginx, la dernière d’une série de problèmes de sécurité auxquels l’entreprise est confrontée depuis janvier.

La société NAS annoncé cette semaine qu’il a corrigé une vulnérabilité affectant les versions PHP 7.1.x, 7.1.33, 7.2.x, 7.2.24, 7.3.x et 7.3.11. Les attaquants pourraient l’exploiter pour obtenir une exécution à distance sur les systèmes d’exploitation QNAP.

Les versions de système d’exploitation concernées incluent QTS 5.0 et 4.5, ainsi que QuTS hero h5.0, 4.5 et c5.0. QTS 5.0.1 build 20220515 et versions ultérieures ainsi que QuTS hero h5.0.0.2069 build 20220614 et versions ultérieures sont sûrs. L’exploit ne fonctionne que sur les systèmes exécutant nginx, que les systèmes NAS QNAP n’ont pas installés par défaut.

Pour installer la mise à jour, connectez-vous d’abord à QTS, QuTS hero ou QuTScloud en tant qu’administrateur. Ensuite, accédez à Panneau de configuration > Système > Mise à jour du micrologiciel. Sélectionnez Mise à jour en direct > Vérifier les mises à jour. Les utilisateurs peuvent également télécharger manuellement la mise à jour du site Web de QNAP.

Ce problème n’est pas lié aux attaques du rançongiciel Deadbolt qui ont frappé les utilisateurs de NAS QNAP au cours des derniers mois. La société a été critiquée pour avoir forcé les mises à jour automatiques via son système de micrologiciel multicouche complexe en réponse, ce qui a entraîné une perte de données inattendue pour certains utilisateurs.

QNAP détecté une autre campagne Deadbolt la semaine dernière, mais son dernier firmware n’est pas vulnérable.