L’entreprise s’efforce une fois de plus d’améliorer la sécurité de ses systèmes d’exploitation réseau.
Dans le contexte: Les périphériques de stockage en réseau (NAS) fabriqués par QNAP sont populaires pour les applications de partage de fichiers, de virtualisation, de surveillance et de gestion du stockage. La société est également connue pour ses versions boguées du micrologiciel NAS, certains problèmes apportant des vulnérabilités importantes aux réseaux connectés à ces appareils.
Le fabricant de NAS basé à Taiwan, QNAP, exhorte les propriétaires d’appareils à effectuer les mises à jour du micrologiciel dès que possible, car les cybercriminels pourraient facilement les compromettre grâce à une vulnérabilité de sécurité critique récemment découverte. La faille fait partie de trois bogues récemment dévoilés que les développeurs ont déjà corrigés dans les nombreux systèmes d’exploitation d’applications réseau et cloud basés sur Linux de l’entreprise.
Un bulletin de sécurité (QSA-24-09) répertorie plusieurs failles affectant « certaines » versions du système d’exploitation. Le problème le plus grave (CVE-2024-21899) concerne une vulnérabilité d’authentification inappropriée qui pourrait permettre à des utilisateurs malveillants de compromettre la sécurité du NAS via un réseau. La base de données NIST répertorie la faille de sécurité avec un score « critique » de 9,8, notant que des cybercriminels compétents (et motivés) pourraient facilement exploiter le bug.
D’autres failles dans le logiciel de QNAP incluent une vulnérabilité d’injection (CVE-2024-21900) qui pourrait permettre aux utilisateurs authentifiés d’exécuter des commandes via un réseau et une vulnérabilité d’injection SQL (CVE-2024-21901) qui pourrait permettre aux administrateurs authentifiés d’injecter du code malveillant sur le réseau. Plateforme myQNAPcloud. Les deux failles ont un score NIST « moyen », ce qui signifie qu’elles ne devraient pas constituer la même menace majeure pour la sécurité du NAS que CVE-2024-21899.
La société a déjà publié un micrologiciel mis à jour pour corriger les trois bogues et a marqué le bulletin de sécurité comme « Résolu ». Les produits concernés incluent QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x et myQNAPcloud 1.0.x. Les propriétaires et les administrateurs doivent immédiatement exécuter des tâches de mise à jour régulières pour leurs systèmes et applications NAS. Les dernières versions du micrologiciel fourniront de précieux correctifs de sécurité et amélioreront leur expérience de stockage réseau.
Des instructions détaillées sur la découverte et l’installation du micrologiciel récemment publié, avec différents chemins de mise à jour décrits pour QTS, QuTS hero, QuTScloud et la plateforme myQNAPcloud axée sur le cloud, sont disponibles. Les clients et les administrateurs système doivent parcourir la page d’état du support produit de QNAP pour voir les dernières mises à jour pour leur modèle de NAS spécifique.
