2 vulnérabilités affectant différents systèmes d’exploitation QNAP (CVE-2022-27597 et CVE-2022-27598) ont été découvertes par Sternum. Ces vulnérabilités permettent aux utilisateurs distants vérifiés d’accéder à des astuces, nécessitant que les propriétaires prennent des mesures immédiates en mettant à jour leur(s) système(s) d’exploitation.
Découverte de CVE-2022-27597 et CVE -2022-27598
Avant de découvrir les vulnérabilités, les scientifiques ont effectué des tests d’efficacité et des analyses comparatives sur un gadget NAS QNAP TS-230. Soudain, l’attention s’est portée sur une série de notifications de sécurité provenant du système, informant le groupe de plusieurs infractions d’accès à la mémoire trouvées sur l’appareil.
Les alertes indiquées sur le système ont exposé plusieurs lectures hors limites et compose par diverses fonctions dans le firmware du gadget. Ces accès de mémoire aux violations conduiraient finalement à des problèmes de stabilité et à des habitudes imprévisibles du code initial, ce qui pourrait entraîner une exécution approximative du code s’il était exploité par une étoile de danger destructrice.
« Malheureusement, cette histoire de cette vulnérabilité « est tout sauf surprenant. En vérité, presque toutes les nouvelles intégrations ou POC que nous avons réalisées jusqu’à présent se sont terminées par le même résultat : les personnes découvrant de nouvelles vulnérabilités dans l’exécution aussi rapidement que l’appareil était connecté », a déclaré Amit Serper, directeur of Security Research for Breast Bone.
« Cela témoigne des espaces laissés par les tests de sécurité actuellement effectués en cours de développement et, plus étonnant encore, du nombre d’appareils vulnérables dans la nature. Avec des dizaines de milliards d’appareils en circulation, et beaucoup d’entre eux sont utilisés pour des fonctions vitales dans les soins de santé, les infrastructures, les communications, les transports, etc., le danger posé par des vulnérabilités similaires encore à détecter ne doit pas être ignoré », a conclu Serper.
Système d’exploitation affecté et mis à jour
Les vulnérabilités de QNAP ont un impact sur le système d’exploitation : QTS, QuTS hero, QuTScloud, QVP (appareils ménagers QVR Pro).
Ces versions du système en cours d’exécution ont actuellement mis à jour :
- QTS 5.0.1.2346 build 20230322 et versions ultérieures
- QuTS hero h5.0.1.2348 build 20230324 et versions ultérieures
Que pouvez-vous faire ?
QNAP résout activement les vulnérabilités dans QuTScloud et QVP et les consommateurs sont encouragés à inspecter l’état de l’assistance de l’article pour voir les dernières mises à jour facilement disponibles pour leur modèle de NAS.
QTS, QuTS hero ou QuTScloud
1. Connectez-vous à QTS, QuTS hero ou QuTScloud en tant qu’administrateur.
2. Connectez-vous à Control Board> System> Firmware Update.
3. Sous Live Update, cliquez sur Check for Update. Le système télécharge et installe la dernière mise à jour disponible.
Mise à jour de QVP (QVR Pro Appliances)
1. Connectez-vous à QVP en tant qu’administrateur.
2. Accédez à Panneau de configuration> Paramètres système> Mise à jour du micrologiciel.
3. Sélectionnez l’onglet Mise à jour du micrologiciel.
4. Cliquez sur Parcourir… pour soumettre le fichier de firmware le plus récent.
5. Cliquez sur Mettre à jour le système.
Toute l’actualité en temps réel, est sur L’Entrepreneur
