Depuis quelques jours, une importante faille de sécurité touche le Bash. Si de nombreuses machines sous Linux, OS X et Unix sont concernés, les NAS ne sont évidemment pas épargnés. Synology et QNAP ont déjà commencé à communiquer sur le sujet et des correctifs arrivent.
Le Bash est le shell (interface système) utilisé par défaut par de nombreux systèmes d'exploitation : Linux et Unix sont ainsi particulièrement concernés. Par conséquent, les machines utilisant un système basé sur l'un de ces derniers peuvent également être touchées par cette faille. Comme c'était déjà le cas pour Heartbleed, les NAS ne sont donc pas épargnés.
QNAP a ainsi publié un communiqué de presse afin d'informer ses utilisateurs. La société en profite pour rappeler que le premier patch corrigeant la faille du Bash (CVE-2014-6271) n'est pas suffisant et qu'un nouveau bulletin d'alerte (CVE-2014-7169) a été mis en ligne par le NIST. Le problème n'est donc pas entièrement réglé, et ce, quel que soit le système d'exploitation. Un point à surveiller de près donc.
Quoi qu'il en soit, QNAP demande à ses clients de déconnecter d'Internet la plupart des services : l'interface d'administration, le serveur Web, les Stations (Photo, Music, File, etc.) ainsi que le protocole WebDAV. De manière générale, il est donc recommandé de ne permettre aucun accès à son NAS depuis Internet, mais de les limiter au réseau local. Pour les plus inquiets, QNAP propose de désactiver complètement l'interface du QTS en arrêtant le serveur Apache (la marche à suivre ce trouve par là).
De son côté, Synology indique que « suite à une enquête approfondie, la majorité des NAS Synology n'est pas concernée ». Le constructeur ajoute que le « système d'exploitation de Synology, le Disk Station Manager (DSM), est protégé par défaut. Le Bash intégré au DSM est réservé aux services du système (HA Manager) seulement et n'est pas disponible pour les utilisateurs publics ». Les NAS grand public ne sont donc pas concernés par défaut, ce qui n'est pas le cas des modèles plus haut de gamme.
Voici la liste des NAS vulnérables selon Synology, qui précise que « les modèles qui ne sont pas dans cette lise, ne sont pas concernés par la faille du Bash » :
- 15-series: DS415+
- 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
- 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
- 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
- 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
- 10-series: DS1010+, RS810+, RS810RP+, DS710+
QNAP et Synology indiquent que des correctifs sont en préparation et seront prochainement mis en place. Du côté de Thecus, aucune information pour le moment. Nous tâcherons de contacter le fabricant afin d'avoir de plus amples informations.
