QNAP NAS et Routeurs : Urgence de corriger une série de failles

par | Déc 12, 2024 | Tech | 0 commentaires

"

Voir plus

Derniers Articles

qnap nas et routeurs : urgence de corriger une série

Il serait possible pour des pirates à distance de tirer profit des vulnérabilités critiques touchant les solutions NAS et QuRouter de QNAP, afin d’effectuer des ordres arbitraires sur des systèmes qui ont été compromis.

QNAP, l’entreprise fournissant des solutions de stockage et de réseau et collaborant avec des prestataires de services IT tels qu’Accenture, Cognizant et Infosys, appelle ses clients à remédier de toute urgence aux failles critiques qui touchent ses services de stockage en réseau (NAS) et de routeur. Ces vulnérabilités sont dues à un défaut d’authentification et à une injection de commande dans le système d’exploitation, qui pourraient permettre à des pirates à distance de lancer des actions arbitraires sur les systèmes concernés. QNAP a annoncé dans des notifications de sécurité distinctes que plusieurs vulnérabilités ont été détectées dans Notes Station 3 et QuRouter. La société recommande de mettre à jour Notes Station 3 et le firmware QuRouter vers les versions les plus récentes pour remédier à ces failles.

Notes Station 3 pour les NAS : des vulnérabilités critiques

Une vulnérabilité liée à un défaut d’authentification, référencée sous le nom CVE-2024-38643, touchant une fonction cruciale de Notes Station 3, l’outil de prise de notes et de collaboration de QNAP pour ses dispositifs NAS, pourrait permettre à un pirate à distance d’accéder sans autorisation aux systèmes vulnérables. La vulnérabilité, dont la cote de gravité CVSS v3 est de 9,8 / 10, concerne les versions 3.9.x de Notes Station 3. Elle a été corrigée dans les versions 3.9.7 et suivantes. En plus des prestataires de services IT, les services NAS de QNAP sont utilisés par diverses entreprises dans les domaines des médias, de la santé et de l’éducation pour le stockage de leurs données sensibles.

A découvrir :  Cegid va acquérir EBP pour renforcer sa position sur les TPE-PME

Les mêmes versions de l’application sont aussi touchées par une autre faille, dite de falsification des requêtes côté serveur (SSRF), sous la référence CVE-2024-38645. Cette faille permet à des pirates distants ayant un accès compromis, lié à l’autre vulnérabilité, de lire toutes les données de l’application. La gravité de cette faille est évaluée à 9,4 / 10 sur l’échelle CVSS v4. En outre, une vulnérabilité d’injection de commande, référencée CVE-2024-38644, peut entraîner l’exécution de code arbitraire sur les systèmes vulnérables. Cette faille a un score de gravité élevé (8,8 / 10 sur l’échelle CVSS v3), mais conjointement avec les deux autres failles, elle pourrait permettre à un pirate de prendre le contrôle total du système. C’est pourquoi il est urgent de corriger cet ensemble critique de bugs trouvés dans Note Station 3.

Vulnérabilités sur les routeurs et le système d’exploitation

Dans une autre notification de sécurité publiée à peu près en même temps, QNAP a alerté ses clients sur une faille critique touchant ses appareils réseau de la série QuRouter et le système d’exploitation associé. Ces routeurs, utilisés aussi bien par des particuliers que par des entreprises, offrent des fonctionnalités de gestion de réseau, de sécurité et d’optimisation des performances. La faille dans QuRouterOS, référencée CVE-2024-48860, est une vulnérabilité d’injection de commande que des pirates à distance pourraient exploiter pour lancer des commandes sur le système hôte. Cette faille, de gravité élevée avec un score CVSS de 7,8, affecte les versions 2.4.x de QuRouter. « Elle a été corrigée dans QuRouter 2.4.3.106 et les versions ultérieures », selon l’annonce de l’entreprise. Enfin, une dernière faille, référencée CVE-2024-48861, qui touchait les mêmes versions de QuRouter, a également été corrigée.

A découvrir :  Clever Cloud vise l'expansion internationale, affiche ses ambitions

Articles relatifs:

  1. Protéger la France d’une crise des ‘subprimes fossiles’ avec 6,5 mois de bénéfices bancaires
  2. Méthodes efficaces pour augmenter les vues sur TikTok : un guide complet
  3. Majorité de Français pour plus de flexibilité dans les règles budgétaires européennes post-pandémie
  4. TechDécouverte expose les difficultés d’accès aux comptes de paiement pour consommateurs vulnérables
Tech

Derniers articles catégorie "Tech"

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *