Vous avez un NAS QNAP ? Corrigez vite cette grosse faille

Mallory Delicourt
03 février 2023 à 14h00
10
© Clubic
© Clubic

QNAP, le fabricant de NAS basé à Taïwan, a annoncé avoir identifié et corrigé une importante faille de sécurité sur certains de ses appareils.

Les utilisateurs sont toutefois invités à mettre le micrologiciel de leur NAS rapidement à jour, et ce, avant que les pirates n'en profitent.

Les NAS, des appareils particulièrement ciblés

Les NAS sont des appareils de stockage privés connectés en réseau, ce qui est très utile pour stocker ses données sans avoir à craindre que d'autres personnes puissent y accéder. Autrement dit, ils contiennent souvent des données privées ou sensibles. Ils sont donc particulièrement ciblés par les pirates adeptes du ransomware, qui cryptent les données avant d'exiger une somme d'argent.

On comprend mieux l'empressement de QNAP, qui a, ce lundi, annoncé avoir corrigé une faille de sécurité évaluée à 9,8/10. Cette vulnérabilité permet aux pirates de facilement injecter du code malveillant, et donc d'opérer sur le NAS à distance sans que l'administrateur ne puisse y faire grand-chose. Les clients concernés, c'est-à-dire ceux exécutant les versions QTS 5.0.1 et QuTS hero h5.0.1, sont donc invités à mettre à jour le micrologiciel en passant au minimum sur les versions QTS 5.0.1.2234 build 20221201 ou QuTS hero h5.0.1.2248 et build 20221215.

De nombreux appareils encore vulnérables

Peu après la mise en ligne des correctifs, les chercheurs en sécurité de chez Censys ont souhaité faire le point. Et autant dire que l'affaire n'est pas réglée, puisque sur les 29 968 hôtes identifiés, seulement 557 avaient été mis à jour en date du 31 janvier. Cela signifie qu'un grand nombre de NAS conçus par QNAP sont encore vulnérables aux attaques. Si vous possédez l'un des appareils concernés, rendez-vous dans les paramètres et exécutez une vérification des mises à jour afin de vous protéger.

La situation inquiète notamment Mark Ellzey, chercheur principal en sécurité, qui craint que la faille ne soit partagée et donc très rapidement exploitée par les pirates : « Si l'exploit est publié […], cela pourrait causer des problèmes à des milliers d'utilisateurs de QNAP. Tout le monde doit mettre à jour ses appareils QNAP immédiatement pour être à l'abri des futures campagnes de ransomwares. »

Quels sont les meilleurs NAS ? Notre comparatif 2024 pour bien choisir son stockage réseau

Quel NAS pour stocker et partager vos données ? À l'heure du cloud et du dématérialiser, on pouvait se dire que le stockage en local appartient au passé. Pourtant, le NAS - pour Network Attached Storage - est plus populaire que jamais. Particuliers et entreprises sont plus intéressés que jamais alors nous vous proposons de suivre le guide.
Lire la suite

Source : BleepingComputer

Mallory Delicourt

Mallory Delicourt

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellemen...

Lire d'autres articles

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

dimebag
Update qui a déjà 2 mois et depuis il y en a eu d’autres
MattS32
Mais à peine 2% des NAS exposés sur Internet sont à jour au 31 janvier, donc ça fait pas de mal de rappeler qu’il y a une mise à jour à faire…<br /> Trop de gens laissent tourner leur matériel sans mise à jour, particulièrement quand c’est du matériel qui s’utilise très souvent sans passer par une interface graphique dédiée, donc sans possibilité de rappeler facilement à l’utilisateur qu’il y a une mise à jour à faire.
ludovicforce
moi j’ai viré le miens du réseau externe car je me suis fait « crypter » un bon paquet de fichier avec demande de rançon (pas grave j’avais des sauvegardes ailleurs) du coup je l’ai mis en locale. J’avais des dizaine de tentative d’intrusion par jours, heureusement bloquées.
cowibu00
Sur les QNAP visés, la mise à jour est automatique. A condition de l’avoir par défaut. C’est le minimum. C’est imprudent de ne pas l’avoir en automatique.<br /> Sur mes QNAP, la mise à jour a été appliquée. Autre chose, il faut avoir des logiciels de protection actifs (antivirus…) avec analyse régulière et automatisée. Un NAS n’est autre qu’un serveur. Il mérite autant d’attention qu’un PC.
bmustang
corrigé depuis 15JS déjà et cela ne touche que la précédente précédente version
bmustang
c’est pourtant pas le manque de rappels du nas, à un moment, c’est un manque sérieux du propriétaire
MattS32
Y a plein de gens qui ne vont jamais dans l’interface de leur NAS, une fois configuré ils n’y accèdent plus que via le réseau Windows pour y lire/écrire des fichiers…
phil995511
Voici une marque que je n’achète plus au vu du manque de fiabilité de 2 produits acquis chez eux et que j’ai rendu sous garantie peu après leur achat.
bmustang
ce que tu dis est vrai et pour ex. pas plus tard qu’hier et en une journée, l’admin a patcher dans l’urgence totale tous ses hyperviseurs vmware parce qu’il y a une menace méchante qui traine depuis qques jours, c’est limite comme action alors que pendant des mois, voir des années, rien est fait, aucun tests ? OUI ! il y a encore de nombreuses boites ou des personnes qui ne patchent pas leurs systèmes, c’est pourquoi qnap, mais les autres rappellent sans cesse de faire les màj sans obligation évidement et c’est là le problème, pas le matériel, mais bien l’utilisateur final.
Senka
Je suis bien content d’avoir lâché cette marque il y a un peu plus d’un an. Visiblement, les problèmes continuent… que ce soit aussi bien hardware que software.
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

QNAP lance officiellement son logiciel QuTS hero 5.0 : ZFS et déduplication au menu QNAP lance officiellement son logiciel QuTS hero 5.0 : ZFS et déduplication au menu
QNAP lance officiellement QTS 5.0 avec VPN Wireguard et prise en charge gratuite de exFAT QNAP lance officiellement QTS 5.0 avec VPN Wireguard et prise en charge gratuite de exFAT
QNAP TVS-675 : son premier NAS avec processeur Zhaoxin arrive en France QNAP TVS-675 : son premier NAS avec processeur Zhaoxin arrive en France
Utilisateurs de NAS QNAP, voici comment mettre à jour votre NAS contre le ransomware AgeLocker Utilisateurs de NAS QNAP, voici comment mettre à jour votre NAS contre le ransomware AgeLocker
Vous avez un NAS QNAP ? Mettez-le à jour maintenant ! Vous avez un NAS QNAP ? Mettez-le à jour maintenant !