QNAP met en garde contre de nouveaux bogues QTS permettant le contrôle des appareils

  • Principal
  • Nouvelles
  • QNAP met en garde contre de nouveaux bogues QTS permettant le contrôle des appareils

QNAP a annoncé aujourd'hui deux vulnérabilités affectant QTS, le système d'exploitation qui alimente ses périphériques de stockage en réseau, qui pourraient permettre l'exécution de commandes arbitraires.

Les bogues peuvent être exploités à distance et ont été signalés dans les versions logicielles publiées avant le 8 septembre 2020.

La dernière version est sûre

Le fournisseur du périphérique de stockage en réseau (NAS) ne fournit pas beaucoup de détails sur les deux problèmes, mais indique que les versions récentes de QTS incluent les correctifs nécessaires.

Selon QNAP avis de sécurité , les utilisateurs qui ont mis à jour le système d'exploitation QTS vers au moins la version QTS 4.4.3.1421 build 20200907 Vous n'avez rien à craindre.

Actuellement suivis comme CVE-2020-2490 et CVE-2020-2492, les deux bogues sont classés comme des vulnérabilités d'injection de commande, selon la société.

Il n'est pas clair comment un attaquant pourrait exploiter ces vulnérabilités ou quels composants du système d'exploitation sont vulnérables, mais l'exécution de commandes arbitraires sur un système est généralement synonyme de prise de contrôle totale de l'appareil.

Les capacités du système d'exploitation QTS vont au-delà de la fourniture d'un environnement pratique pour le partage de fichiers, la gestion du stockage et les opérations de sauvegarde. Il vous permet également d'installer des applications à partir du QNAP App Center qui étendent les fonctionnalités du NAS pour couvrir des objectifs professionnels et de divertissement à domicile.

Les appareils QNAP sont des cibles intéressantes

Les petites entreprises les utilisent souvent pour la sauvegarde et le partage de fichiers. Un système exposé exécutant un système d'exploitation obsolète pourrait offrir aux attaquants la possibilité de compromettre le périphérique de stockage avec divers types de logiciels malveillants.

En septembre, QNAP a mis en garde ses clients contre les attaques de ransomware ciblant ses produits NAS. L'auteur de la menace a exploité une vulnérabilité dans l'application Photo Station qui permet aux utilisateurs de télécharger des images sur l'appareil, de créer des albums ou de les visualiser à distance.

Plus récemment, la société a résolu des problèmes dans l'application Helpdesk qui pourraient être exploités pour prendre le contrôle d'un appareil QNAP.

Un autre avertissement est venu le 21 octobre lorsque le fournisseur du périphérique NAS a alerté les clients que certaines versions du système d'exploitation QTS sont affectées par la vulnérabilité critique Windows ZeroLogon (CVE-2020-1472).

Les utilisateurs peuvent installer manuellement la dernière mise à jour de QTS après l'avoir téléchargée depuis le site Web de QNAP ou en vérifiant les mises à jour et en autorisant le système d'exploitation à télécharger et à appliquer la nouvelle version :

  1. Connectez-vous à QTS en tant qu'administrateur
  2. Allez dans Panneau de configuration > Système > Mise à jour du micrologiciel
  3. Sous Mise à jour en direct, cliquez sur Vérifier la mise à jour
Qu'est-ce que tu penses?