QNAP : plusieurs failles corrigées dans Photo Station, Image2PDF et QVR IP
Le fabricant de NAS QNAP a publié des mises à jour pour patcher plusieurs failles de sécurité qui touchent les NAS de la marque, et plus particulièrement certaines applications. Ces vulnérabilités permettent à l'attaquant d'exécuter du code et des commandes à distance sur le NAS.
Par l'intermédiaire de ce correctif de sécurité, QNAP a corrigé les trois failles de sécurité suivantes : CVE-2021-34354, CVE-2021-34356, et CVE-2021-34355. Il s'agit de vulnérabilités de type XSS et elles affectent les NAS qui exécutent une version non patchée de Photo Station. Plus précisément, c'est-à-dire une version de Photo Station antérieure aux versions suivantes : 5.4.10, 5.7.13, ou 6.0.18.
Par ailleurs, QNAP a corrigé deux autres vulnérabilités, la première dans l'application Image2PDF et la seconde dans la solution de vidéosurveillance QVR IP. Au sein d'Image2PDF, il s'agit d'une faille XSS également et pour vous protéger vous devez utiliser au minimum la version 2.1.5 d'Image2PDF. Quant à la faille dans QVR IP, associée à la référence CVE-2021-34352, elle permet à l'attaquant d'exécuter des commandes sur le NAS et de prendre le contrôle total du NAS !
Pour mettre à jour les applications Photo Station et Image2PDF, vous devez vous rendre dans l'App Center de l'interface QTS (ou QuTS Hero) dans le but de rechercher les mises à jour. Concernant la solution QVR IP, il faut s'authentifier sur l'interface de la solution afin d'effectuer une mise à jour firmware.
Il est recommandé de patcher vos NAS dès que possible, d'autant plus que certains ransomwares s'intéressent de près aux NAS QNAP depuis quelques mois.
