Découverte d’une faille zero-day critique dans les NAS QNAP : comment se protéger ?
Correction rapide d’une faille de sécurité zero-day dans une application QNAP :
La découverte de la vulnérabilité
La compétition de hacking Pwn2Own Ireland 2024 a révélé une faille de sécurité zero-day dans l’application HBS 3 Hybrid Backup Sync de QNAP, utilisée sur ses NAS. Cette vulnérabilité, référencée sous le code CVE-2024-50388, a été identifiée par des chercheurs en sécurité lors de cet événement.
L’exploitation de la vulnérabilité
L’équipe Viettel Cyber Security a réussi à exploiter cette vulnérabilité sur un NAS QNAP TS-464 lors de la compétition. En exploitant cette faille, ils ont pu exécuter du code arbitraire sur l’appareil et obtenir des privilèges administrateurs, obtenant ainsi une récompense de 4 points et 10 000 dollars.
Les mesures de sécurité à prendre
La vulnérabilité affecte les utilisateurs des versions 25.1.x de l’application HBS 3 Hybrid Backup Sync. Il est recommandé de mettre à jour vers la version 25.1.1.673 ou une version ultérieure pour se protéger contre cette faille de sécurité. Si vous ne voyez pas de mise à jour disponible, c’est que votre application est déjà à jour.
La réactivité de QNAP dans la résolution de cette faille est à souligner, le patch ayant été déployé seulement 5 jours après sa découverte. Cette rapidité de réaction est essentielle pour protéger les utilisateurs contre les attaques potentielles.
Source : www.it-connect.fr