QNAP a corrigé une faille de sécurité zero-day dans son application de sauvegarde pour NAS !
Le fabricant QNAP a corrigé une faille de sécurité zero-day présente dans l'une de ses applications disponibles pour ses NAS. La vulnérabilité a été dévoilée par des chercheurs en sécurité à l'occasion de la compétition de hacking Pwn2Own Ireland 2024.
Il y a quelques jours, la compétition de hacking Pwn2Own Ireland 2024 s'est achevée. Pendant les 4 jours de compétition, les chercheurs en sécurité ont pu identifier et exploiter environ 70 failles de sécurité au sein de plusieurs produits et services, dont les NAS QNAP.
Associée à la référence CVE-2024-50388, la vulnérabilité a été découverte dans la solution HBS 3 Hybrid Backup Sync de QNAP. Il s'agit d'une application de sauvegarde et de reprise après incident disponible pour les possesseurs de NAS QNAP. Le site de QNAP mentionne d'ailleurs plus de 1,2 million d'utilisateurs.
Considérée comme critique, cette vulnérabilité est décrite de la façon suivante dans le bulletin de sécurité de QNAP : "Une vulnérabilité par injection de commande dans le système d'exploitation a été signalée pour HBS 3 Hybrid Backup Sync. Si elle est exploitée, cette vulnérabilité peut permettre à des attaquants distants d'exécuter des commandes arbitraires."
Lors de la compétition Pwn2Own Ireland 2024, les chercheurs en sécurité de l'équipe Viettel Cyber Security ont exploité cette vulnérabilité sur un NAS QNAP TS-464 (mais le modèle n'a pas d'importance). Cela leur a permis d'exécuter du code arbitraire sur le NAS et d'obtenir les privilèges administrateurs. Dans le cadre de cette compétition, cette découverte a été récompensée par 4 points et 10 000 dollars.
Qui est affecté ? Comment se protéger ?
Cette vulnérabilité affecte tous les utilisateurs de HBS 3 Hybrid Backup Sync versions 25.1.x. Elle a été corrigée dans la version 25.1.1.673 et les futures versions.
Si vous l'utilisez, vous devez donc accéder à l'interface du système QTS ou QuTS hero en tant qu'administrateur, afin d'ouvrir App Center et de procéder à la mise à jour de l'application. Si aucune mise à jour n'est proposée, c'est que votre application HBS 3 Hybrid Backup Sync est déjà à jour.
Il est important de noter la réactivité de QNAP sur ce coup, puisque cette faille de sécurité zero-day a été patchée seulement 5 jours après avoir été dévoilée lors de l'événement Pwn2Own. Selon les règles de la compétition, les entreprises disposent de 90 jours pour publier un correctif avant que la Zero Day Initiative de Trend Micro publie les détails techniques sur les vulnérabilités découvertes.
