Alerte cybersécurité : failles de sécurité critiques dans les produits Qnap
Dans le cadre de la procédure AlerteCyber, le MEDEF nous transmet l'alerte ci-dessous, élaborée par Cybermalveillance.gouv.fr et l'ANSSI, concernant des vulnérabilités critiques et exploitables par des cybercriminels sur des serveurs de stockage en réseau (NAS) Qnap.
Ce type d'équipement domestique est très employé par de nombreuses structures (dont les TPE, petites PME...) et sont souvent directement exposés sur Internet pour en permettre l'accès à distance.
L'application des mises à jour de sécurité est à réaliser sans délai par les utilisateurs des versions concernées de cette application très fortement employée dans la sphère professionnelle.
Il s'agit notamment des failles immatriculées CVE-2023-47222 (score CVSS 9,6/10), CVE-2024-32764 (score CVSS 9,8/10) et CVE-2024-32766 (score CVSS 10/10)...
Date de l'alerte : 06/05/2024
Risques
Espionnage, vol, voire destruction de vos données suite à la prise de contrôle à distance de vos équipements concernés.
Description
Des failles de sécurité critiques ont été corrigées dans plusieurs logiciels des serveurs de stockage en réseau (NAS) Qnap.
L'exploitation de ces vulnérabilités par une personne malveillante peut lui permettre la prise de contrôle à distance des équipements concernés et l'espionnage, le vol, voire la destruction, d'informations confidentielles.
Des cybercriminels pourraient très prochainement exploiter ces failles pour conduire des attaques massives contre les systèmes vulnérables.
Qnap a publié des mises à jour qui corrigent ces vulnérabilités et protègent de leur exploitation.
Systèmes concernés
-
QTS 5.x, 4.5.x ;
-
QuTS hero h5.x, h4.5.x ;
-
QuTScloud c5.x ;
-
myQNAPcloud 1.0.x ;
-
myQNAPcloud Link 2.4.x ;
-
Media Streaming Add-on 500.1.x.
Mesures à prendre
Mettre à jour au plus vite les équipements concernés avec les correctifs de sécurité mis à disposition par l'éditeur.
Procédure
Se référer aux bulletins de sécurité (en anglais) de l'éditeur pour obtenir les correctifs :
- https://www.qnap.com/fr-fr/security-advisory/qsa-24-09
- https://www.qnap.com/fr-fr/security-advisory/qsa-24-14
- https://www.qnap.com/fr-fr/security-advisory/qsa-24-15
Besoin d'assistance ?
Vous pouvez trouver sur Cybermalveillance.gouv.fr des prestataires de proximité susceptibles de vous apporter leur soutien dans la mise en œuvre de ces mesures : ici.
Référence(s)
-
ANSSI / CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0354/
-
CVE-2024-32764
-
CVE-2024-32766
-
CVE-2024-21899
-
CVE-2023-47222
-
....
Aller plus loin avec Cybermalveillance.gouv.fr :
Pourquoi et comment bien gérer ses mises à jour ?