Vous avez un NAS QNAP ? Corrigez vite cette grosse faille

Publié le 03 février 2023 à 14h00

QNAP, le fabricant de NAS basé à Taïwan, a annoncé avoir identifié et corrigé une importante faille de sécurité sur certains de ses appareils.

Les utilisateurs sont toutefois invités à mettre le micrologiciel de leur NAS rapidement à jour, et ce, avant que les pirates n'en profitent.

Les NAS, des appareils particulièrement ciblés

Les NAS sont des appareils de stockage privés connectés en réseau, ce qui est très utile pour stocker ses données sans avoir à craindre que d'autres personnes puissent y accéder. Autrement dit, ils contiennent souvent des données privées ou sensibles. Ils sont donc particulièrement ciblés par les pirates adeptes du ransomware, qui cryptent les données avant d'exiger une somme d'argent.

On comprend mieux l'empressement de QNAP, qui a, ce lundi, annoncé avoir corrigé une faille de sécurité évaluée à 9,8/10. Cette vulnérabilité permet aux pirates de facilement injecter du code malveillant, et donc d'opérer sur le NAS à distance sans que l'administrateur ne puisse y faire grand-chose. Les clients concernés, c'est-à-dire ceux exécutant les versions QTS 5.0.1 et QuTS hero h5.0.1, sont donc invités à mettre à jour le micrologiciel en passant au minimum sur les versions QTS 5.0.1.2234 build 20221201 ou QuTS hero h5.0.1.2248 et build 20221215.

De nombreux appareils encore vulnérables

Peu après la mise en ligne des correctifs, les chercheurs en sécurité de chez Censys ont souhaité faire le point. Et autant dire que l'affaire n'est pas réglée, puisque sur les 29 968 hôtes identifiés, seulement 557 avaient été mis à jour en date du 31 janvier. Cela signifie qu'un grand nombre de NAS conçus par QNAP sont encore vulnérables aux attaques. Si vous possédez l'un des appareils concernés, rendez-vous dans les paramètres et exécutez une vérification des mises à jour afin de vous protéger.

La situation inquiète notamment Mark Ellzey, chercheur principal en sécurité, qui craint que la faille ne soit partagée et donc très rapidement exploitée par les pirates : « Si l'exploit est publié […], cela pourrait causer des problèmes à des milliers d'utilisateurs de QNAP. Tout le monde doit mettre à jour ses appareils QNAP immédiatement pour être à l'abri des futures campagnes de ransomwares. »

Quels sont les meilleurs NAS ? Comparatif 2024

Quel NAS pour stocker et partager vos données ? À l'heure du cloud et du dématérialiser, on pouvait se dire que le stockage en local appartient au passé. Pourtant, le NAS - pour Network Attached Storage - est plus populaire que jamais. Particuliers et entreprises sont plus intéressés que jamais alors nous vous proposons de suivre le guide.

Source : BleepingComputer

Par Mallory Delicourt

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.

Articles de Mallory Delicourt

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

dimebag

Update qui a déjà 2 mois et depuis il y en a eu d’autres

MattS32

Mais à peine 2% des NAS exposés sur Internet sont à jour au 31 janvier, donc ça fait pas de mal de rappeler qu’il y a une mise à jour à faire…

Trop de gens laissent tourner leur matériel sans mise à jour, particulièrement quand c’est du matériel qui s’utilise très souvent sans passer par une interface graphique dédiée, donc sans possibilité de rappeler facilement à l’utilisateur qu’il y a une mise à jour à faire.

ludovicforce

moi j’ai viré le miens du réseau externe car je me suis fait « crypter » un bon paquet de fichier avec demande de rançon (pas grave j’avais des sauvegardes ailleurs) du coup je l’ai mis en locale. J’avais des dizaine de tentative d’intrusion par jours, heureusement bloquées.

cowibu00

Sur les QNAP visés, la mise à jour est automatique. A condition de l’avoir par défaut. C’est le minimum. C’est imprudent de ne pas l’avoir en automatique.
Sur mes QNAP, la mise à jour a été appliquée. Autre chose, il faut avoir des logiciels de protection actifs (antivirus…) avec analyse régulière et automatisée. Un NAS n’est autre qu’un serveur. Il mérite autant d’attention qu’un PC.

bmustang

corrigé depuis 15JS déjà et cela ne touche que la précédente précédente version

bmustang

c’est pourtant pas le manque de rappels du nas, à un moment, c’est un manque sérieux du propriétaire

MattS32

Y a plein de gens qui ne vont jamais dans l’interface de leur NAS, une fois configuré ils n’y accèdent plus que via le réseau Windows pour y lire/écrire des fichiers…

phil995511

Voici une marque que je n’achète plus au vu du manque de fiabilité de 2 produits acquis chez eux et que j’ai rendu sous garantie peu après leur achat.

bmustang

ce que tu dis est vrai et pour ex. pas plus tard qu’hier et en une journée, l’admin a patcher dans l’urgence totale tous ses hyperviseurs vmware parce qu’il y a une menace méchante qui traine depuis qques jours, c’est limite comme action alors que pendant des mois, voir des années, rien est fait, aucun tests ? OUI ! il y a encore de nombreuses boites ou des personnes qui ne patchent pas leurs systèmes, c’est pourquoi qnap, mais les autres rappellent sans cesse de faire les màj sans obligation évidement et c’est là le problème, pas le matériel, mais bien l’utilisateur final.

Senka

Je suis bien content d’avoir lâché cette marque il y a un peu plus d’un an. Visiblement, les problèmes continuent… que ce soit aussi bien hardware que software.