QNAP a publié des mises à jour de sécurité pour corriger deux failles de sécurité critiques affectant son système d’exploitation et pouvant entraîner l’exécution de code arbitraire.
Suivi comme CVE-2023-23368 (score CVSS : 9,8), la vulnérabilité est décrite comme un bug d’injection de commandes affectant QTS, QuTS hero et QuTScloud.
« Si elle est exploitée, cette vulnérabilité pourrait permettre à des attaquants distants d’exécuter des commandes via un réseau », a déclaré la société dans un avis publié ce week-end.
La lacune s’étend aux versions ci-dessous –
- QTS 5.0.x (corrigé dans QTS 5.0.1.2376 build 20230421 et versions ultérieures)
- QTS 4.5.x (corrigé dans QTS 4.5.4.2374 build 20230416 et versions ultérieures)
- QuTS hero h5.0.x (Corrigé dans QuTS hero h5.0.1.2376 build 20230421 et versions ultérieures)
- QuTS hero h4.5.x (Corrigé dans QuTS hero h4.5.4.2374 build 20230417 et versions ultérieures)
- QuTScloud c5.0.x (corrigé dans QuTScloud c5.0.1.2374 et versions ultérieures)
QNAP a également corrigé une autre faille d’injection de commandes dans QTS, la console multimédia et le module complémentaire Media Streaming (CVE-2023-23369score CVSS : 9,0) qui pourrait permettre à des attaquants distants d’exécuter des commandes via un réseau.
Les versions suivantes du logiciel sont concernées –
- QTS 5.1.x (corrigé dans QTS 5.1.0.2399 build 20230515 et versions ultérieures)
- QTS 4.3.6 (Corrigé dans QTS 4.3.6.2441 build 20230621 et versions ultérieures)
- QTS 4.3.4 (Corrigé dans QTS 4.3.4.2451 build 20230621 et versions ultérieures)
- QTS 4.3.3 (Corrigé dans QTS 4.3.3.2420 build 20230621 et versions ultérieures)
- QTS 4.2.x (corrigé dans QTS 4.2.6 build 20230621 et versions ultérieures)
- Console multimédia 2.1.x (corrigé dans la console multimédia 2.1.2 (04/05/2023) et versions ultérieures)
- Console multimédia 1.4.x (corrigé dans la console multimédia 1.4.8 (05/05/2023) et versions ultérieures)
- Module complémentaire Media Streaming 500.1.x (corrigé dans le module complémentaire Media Streaming 500.1.1.2 (2023/06/12) et versions ultérieures)
- Module complémentaire Media Streaming 500.0.x (corrigé dans le module complémentaire Media Streaming 500.0.0.11 (2023/06/16) et versions ultérieures)
Les appareils QNAP ayant été exploités pour des attaques de ransomware dans le passé, les utilisateurs exécutant l’une des versions susmentionnées sont invités à mettre à jour vers la dernière version pour atténuer les menaces potentielles.
Le développement intervient des semaines après que la société taïwanaise divulgué il a supprimé un serveur malveillant utilisé dans des attaques par force brute généralisées ciblant des périphériques de stockage en réseau (NAS) exposés à Internet avec des mots de passe faibles.