15 failles de sécurité majeures découvertes sur les NAS QNAP : analyse et impacts
15 failles de sécurité découvertes dans le système QTS de QNAP
Des chercheurs en sécurité ont récemment identifié 15 failles de sécurité dans le système QTS de QNAP, utilisé par les NAS de la marque. Le rapport publié par WatchTowr Labs met en lumière ces vulnérabilités, dont certaines sont encore non corrigées.
Les détails des failles de sécurité
Le rapport de WatchTowr Labs fait état de 15 failles de sécurité découvertes dans les systèmes QTS, QTS Hero et QuTS Cloud de QNAP. Parmi elles, la CVE-2024-27130, une vulnérabilité de type “stack buffer overflow” particulièrement préoccupante. Cette faille permet à un attaquant d’exécuter du code à distance sur le NAS QNAP en exploitant la fonction “No_Support_ACL” du fichier “share.cgi”. Bien que l’exploitation de cette vulnérabilité requiert un certain niveau d’accès au NAS, elle demeure une menace sérieuse non corrigée par le fabricant.
Alors que QNAP a été informé de ces failles entre le 8 décembre 2023 et le 8 janvier 2024, certaines d’entre elles restent sous embargo et non corrigées. Malgré les demandes de délai supplémentaire de la part de QNAP, la pression est désormais forte pour la résolution de ces problèmes de sécurité.
L’attente du correctif
Les chercheurs de WatchTowr Labs ont même publié un exploit PoC pour la CVE-2024-27130, démontrant la possibilité de créer un compte avec des privilèges élevés sur le NAS QNAP. En attendant les correctifs nécessaires, il est crucial de rester vigilant face à ces failles de sécurité potentiellement exploitables.
Source : www.it-connect.fr