26/12/2024

Actu CybersécuritéMatériel

Les NAS QNAP affectés par deux vulnérabilités dans Apache

QNAP demande à ses utilisateurs d'appliquer des mesures d'atténuation pour bloquer des failles de sécurité situées dans le serveur Web Apache et qui impactent directement les NAS de la marque. Faisons le point.

Le fabricant QNAP a publié un nouveau bulletin de sécurité au sujet de vulnérabilités dans le serveur web Apache qui affectent ses NAS. Récemment, la fondation Apache a publié une nouvelle version de son serveur web : Apache HTTP Server 2.4.53. Cette version corrige différents bugs, mais également quatre failles de sécurité : CVE-2022-22719, CVE-2022-22720, CVE-2022-22721 et CVE-2022-23943.

Les NAS QNAP sont, potentiellement, affectés par deux de ces quatre vulnérabilités. Voici ce que nous dit QNAP dans son communiqué : "Alors que les CVE-2022-22719 et CVE-2022-22720 n'affectent pas les produits QNAP, la CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits, et la CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP.". En résumé, les NAS QNAP sont touchés par les CVE-2022-22721 et CVE-2022-23943, en fonction du modèle de NAS et de la configuration de celui-ci.

Il est à noter que ces failles de sécurité peuvent toucher d'autres applications, d'autres fabricants de NAS, mais aussi des serveurs Web. Si vous utilisez Apache, vérifiez vos mises à jour et versions actuelles ! 😉

Comment protéger son NAS ?

Pour le moment, les correctifs ne sont pas disponibles et QNAP travaille sur le sujet. En attendant, il est proposé aux utilisateurs d'appliquer des mesures d'atténuation pour se protéger.

  • CVE-2022-22721 : QNAP recommande de conserver la valeur par défaut de "1M" pour l'option LimitXMLRequestBody. Tout en sachant que la faille de sécurité touche les systèmes 32 bits où la valeur est égale ou supérieure à 350M.
  • CVE-2022-23943 : QNAP recommande de désactiver le module "mod_sed", en sachant qu'il est désactivé par défaut dans Apache. Il suffit que ce module soit actif pour que le serveur Web soit vulnérable, à distance, sans authentification.

Ces failles de sécurité sont sérieuses et réellement dangereuses : elles héritent d'un score CVSS de 9,8 sur 10.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.