Les agences et autorités françaises cyber alertent sur des vulnérabilités critiques de sécurité dans différents produits Qnap. Corrigées, les failles touchaient des logiciels des serveurs de stockage en réseau (NAS).
L'entreprise taïwanaise Qnap, spécialisée dans les produits de stockage réseau, vient d'avoir de sérieux soucis de sécurité, avec plusieurs vulnérabilités majeures dans ses solutions. Le problème est d'ailleurs suffisamment grave pour que Cybermalveillance.gouv.fr lance, ce lundi 13 mai 2024, une AlerteCyber, un dispositif destiné à sensibiliser les particuliers, collectivités et entreprises d'une faille critique. Alors que s'est-il passé et comment éviter d'être exposé au risque cyber ?
Des logiciels de serveurs NAS de Qnap frappés par de grosses vulnérabilités
Ces dernières semaines, de multiples vulnérabilités ont été identifiées dans les produits Qnap. Plusieurs logiciels de serveurs de stockage en réseau (NAS) de la marque ont été exposés au risque cyber, en présentant des failles d'une certaine gravité, pouvant aller jusqu'au seuil « haut », voire « critique » pour l'une d'entre elles. Voici d'ailleurs la liste des systèmes concernés :
- QTS 5.x, 4.5.x
- QuTS hero h5.x, h4.5.x
- QuTScloud c5.x
- myQNAPcloud 1.0.x
- myQNAPcloud Link 2.4.x
- Media Streaming Add-on 500.1.x.
Les autorités cyber, parmi lesquelles l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, précisent que ces vulnérabilités pourraient conduire un individu malveillant à prendre le contrôle à distance des équipements concernés. Les risques de vol, d'espionnage voire de destruction de données confidentielles sont aussi bien réels.
Un seul moyen pour vous protéger : procéder à la mise à jour
Les pirates informatiques peuvent tout à fait exploiter ces différentes failles et risques que sont l'atteinte à la confidentialité des données, l'exécution de code arbitraire à distance et le contournement de la politique de sécurité, pour mener des attaques massives contre les systèmes aujourd'hui vulnérables.
L'entreprise, qui a depuis corrigé ces dernières, invite désormais toutes les personnes et entités qui utilisent ses logiciels et serveurs à les mettre à jour le plus rapidement possible.
01 décembre 2024 à 11h06
Sources : Cybermalveillance.gouv.fr, ANSSI