Deux vulnérabilités affectent des solutions de stockage en réseau du fabricant Qnap ouvrant la voie à des attaques à distante de pirates. Les modèles NAS tournant sur le firmware QTS 4.3.4 ne bénéficieront pas de correctifs avant au moins une semaine.
Alertes de sécurité sérieuse pour les utilisateurs des solutions de stockage en réseau de Qnap. Deux failles de sécurité, identifiées en tant que CVE-2020-2509 et CVE-2021-36195, pourraient bien leur empoisonner la vie d’autant que certains modèles tournant sur l’ancien firmware QTS 4.3.4 ne bénéficient pas encore de correctifs. Pour les autres, il est plus que conseillé d’appliquer une mise à jour.
Ce sont des chercheurs de SAM Seamless Network qui ont découvert ces vulnérabilités en octobre et novembre 2020 et prévenu dans la foulée Qnap. Leur communication intervient seulement maintenant, selon le calendrier de divulgation en vigueur ayant laissé trois mois au fournisseur pour livrer des correctifs. « En raison de la gravité des vulnérabilités, nous avons décidé de ne pas encore divulguer tous les détails, car nous pensons que cela pourrait causer des dommages majeurs à des dizaines de milliers d’appareils Qnap exposés à Internet », ont précisé les chercheurs.
Un nombre indéterminé de périphériques NAS affectés
La CVE-2020-2509 affecte le serveur Web du NAS (port TCP par défaut 8080). Dans le cadre de leur enquête, les chercheurs de SAM Seamless Network ont été en mesure de brouiller le serveur Web avec des requêtes HTTP personnalisées vers différentes pages CGI, en se concentrant sur celles qui ne nécessitaient pas d’authentification préalable. « Nous avons pu générer un scénario intéressant, qui déclenche indirectement l’exécution de code à distance ». Quant à la CVE-2021-36195, il s’agit d’une exécution de code distant lié à une faille d’écriture de fichier arbitraire, impactant le dernier firmware de Qnap TS-231 (version 4.3.6.1446), sorti en septembre. Deux types d’attaques sont possibles avec un exploit : attaque à distance – avec accès au serveur Web (port par défaut 8080) et exécution de commandes shell arbitraires, sans connaissance préalable d’informations d’identification Web.
On ne connait pas précisément le nombre de solutions de stockage en réseau Qnap concernés par ce risque de sécurité. « La plupart des modèles, la mise à jour de sécurité pourrait être mise à niveau vers la dernière version, à savoir QTS 4.5.2. Cependant, certains anciens modèles de matériel ont des limites de mise à niveau du micrologiciel. Par exemple, TS-EC1679U-SAS-RP ne pouvait prendre en charge que l’ancien QTS 4.3.4 », a indiqué Qnap. « Actuellement, nous avons publié le correctif dans la dernière version du micrologiciel et de l’application associée. Le niveau de gravité étant élevé, nous souhaitons publier la mise à jour de sécurité pour d’anciens modèles. Cela devrait être le cas dans une semaine ».