Faille de sécurité zero-day (CVE-2024-50388) pour l'application de sauvegarde de pour NAS de Qnap!!
Salut à tous les petites barbichettes,
Aujourd'hui, on se retrouve pour aborder une vulnérabilité qui a été dévoilée par des chercheurs en sécurité lors de la compétition Pwn2Own Ireland 2024 au sein de l'application de sauvegarde pour NAS du fabricant QNAP.
Durant ses quatre jours de compétition, un total de 70 failles de sécurité ont été identifiés et exploités dans différents produits et services dont les NAS QNAP pour la CVE qui nous intéresse aujourd'hui.
Les chercheurs en sécurité de l'équipe Viettel Cyber Security sont parvenus à exploiter cette vulnérabilité sur un NAS QNAP TS-464 leur permettant d'exécuter du code arbitraire et obtenir les droits d'administration. La vulnérabilité est présente dans la solution HBS 3 Hybrid Backup Sync de QNAP (application de sauvegarde et de reprise après incident) et utilisée par plus de 1,2 millions d'utilisateurs.
Cette vulnérabilité est considérée comme critique et a été décrite dans un bulletin de sécurité de QNAP:
"Une vulnérabilité par injection de commande dans le système d'exploitation a été signalée pour HBS 3 Hybrid Backup Sync. Si elle est exploitée, cette vulnérabilité peut permettre à des attaquants distants d'exécuter des commandes arbitraires."
Celle-ci est présente pour tous les utilisateurs utilisateurs de la solution en versions 25.1.X et a été corrigée à partir de la version 25.1.1.673.
Pour vérifier cette mise à jour, il vous suffit d'accéder à l'interface du système QTS ou QuTS hero en tant qu'administrateur pour ouvrir App Center afin de pouvoir procéder à la mise à jour de l'application.
Cependant, si aucune mise à jour n'est proposée, c'est que votre application est déjà à jour.
Donc, si vous êtes possesseur d'un NAS QNAP et que vous utilisez la solution, je vous suggère vivement de vérifier notre version et procéder à la mise à jour, si nécessaire.
Commentaires
Enregistrer un commentaire