QNAP vient de publier des correctifs pour pas moins de quatre failles de sécurités, dont deux critiques – avec des scores de 9.0 et 9.8 sur 10 tout de même – sur ses systèmes d’exploitation QTS, QuTS hero et QuTScloud. L’heure des mises à jour a sonné, si ce n’est pas déjà fait.
Ce week-end, le fabricant de NAS a publié des bulletins d’alerte pour plusieurs briques logicielles importantes de ses NAS, notamment ses systèmes d’exploitation maison basés sur QTS.
Une première faille critique pour QTS
La première est identifiée CVE-2023-23369 et est critique, avec un score de 9.0 sur 10. Il faut dire qu’elle est particulièrement grave puisqu’elle permet « à des attaquants d'exécuter des commandes à distance, via le réseau ». Le fabricant remercie Eqqie de l’avoir signalée.
Toutes les versions récentes de QTS sont affectées, de la 4.2 à là 5.1 (sauf les 4.5 et 5.0 qui ont droit à un autre bulletin, nous y reviendrons juste après). Des mises à jour sont disponibles pour l’ensemble des moutures impactées. Dans le cas de la 5.1 par exemple, il faut être en QTS 5.1.0.2399 build 20230515 au moins.
D’autres composants sont touchés, comme la Multimedia Console 1.4 et 2.1, ainsi que l’add-on Media Streaming 500.0 et 500.1.
Une seconde encore plus critique car « AC:H »
QNAP a également publié un second bulletin de sécurité, portant cette fois sur le CVE-2023-23368 (avec des remerciements pour CataLpa of Hatlab), avec exactement les mêmes risques et donc les mêmes conséquences. Le score grimpe cependant à 9.8 sur 10… d’où vient cette différence ?
Il faut décortiquer la note CVSS (Common Vulnerability Scoring System) pour comprendre la différence entre les deux notes, alors que la faille est critique dans les deux cas.
Voici le détail des deux alertes (nous avons ajouté du gras sur les différences) :
- CVE-2023-23369 (9.0 sur 10) : CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- CVE-2023-23368 (9.8 sur 10) : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Le NIST (National Institute of Standards and Technology) détaille la signification des différents éléments sur cette page. « AV » signifie par exemple Attack Vector. Le « N » qui suit précise qu’il s’agit du réseau, soit une attaque à distance, le pire scénario. S’il fallait être devant la machine pour l’exploiter, on aurait eu un « L » pour local.
Concentrons-nous sur les différences. « AC » pour Attack Complexity est sur « L » pour le score à 9.8 et « H » pour celui à 9.0… avez-vous deviné ce que cachent ces deux lettres ? Low et High, tout simplement. Seconde différence : le « S » de Scope. Il est « U » pour Unchanged pour la faille à 9.8 et « C » Changed pour celle à 9.0.
La différence de score vient donc principalement de la complexité d’attaque qui est moindre sur CVE-2023-23368 (avec une note de 9.8 sur 10). Le périmètre d’action reste le même alors qu’il s’élargit avec la seconde vulnérabilité, mais la simplicité de l’attaque fait rapidement grimper la note finale.
Pas de chance, cette faille CVE-2023-23368 affecte non seulement QTS 4.5 et 5.0, mais visiblement pas les autres versions en 4.x et 5.1, touchées par l’autre faille critique. On s’étonne par contre de ne jamais voir cité QTS 4.4. Mauvaise nouvelle pour QNAP, d’autres systèmes d’exploitation sont également touchés par CVE-2023-23368.
QuTS hero et QuTScloud également touchés
C’est le cas de QuTS hero h4.5 et h5.0, une version modifiée qui « combine le QTS sous applis avec un système de fichiers ZFS 128 bits pour fournir une gestion du stockage flexible, une protection des données complète et des performances optimisées ».
QuTScloud c5.0.x est aussi touchée. Cette mouture est pour rappel prévue pour s’installer sur des clouds publics (Amazon EC2, Azure, Google Cloud, OVHcloud…), sans être rattachée à un NAS QNAP physique.
Dans tous les cas, la manipulation pour se mettre à jour est la même. Il faut se rendre dans Control Panel > System > Firmware Update et installer la dernière version proposée.
Vous en voulez encore ? Voici CVE-2023-39301, une faille avec une criticité moyenne et un score de 4.3. Elle pourrait « permettre à des utilisateurs authentifiés de lire des données transitant sur le réseau », explique QNAP. Cette brèche concerne QTS 5.1 et 5.0, QuTS hero h5.1 et h5.0 et QuTScloud c5.
Une dernière pour la route avec la Music Station
Enfin, on termine avec une dernière faille sur la Music Station. QNAP annonce une sévérité moyenne, tandis que le NIST la classe dans la catégorie élevée avec un score de 7.5 (CVE-2023-39299).
Elle permettait à des « utilisateurs de lire le contenu de fichiers et d'exposer des données sensibles via le réseau ». Les versions 4.8, 5.1 et 5.3 de l’application sont touchées.
Commentaires (5)
#1
Malheureusement, QNAP ne propose pas de mise à jour pour les modèles “Discontinued”, mais ayant ces versions de logiciel…
Heureusement mon NAS n’est pas accessible depuis l’extérieur, via un blocage sur le routeur de mon FAI.
#2
J’ai regardé, mon nas est déjà en version 5.1.2 qui n’est pas touchée. Donc si on met à jour régulièrement son nas, ça devrait le faire.
Pour le coté discontinued, ce n’est pa propre à qnap, mais tout le monde en général (sauf énorme faille comme microsoft qui avait ressorti un patch même pour les xp!)
#2.1
Idem, j’ai vu hier soir que j’étais déjà en 5.1.2 et donc à priori non concerné. Ma dernière MAJ du firmware datait d’il y’a quelques semaines.
Par contre j’avais bien des MAJ pour les packages Multimedia, mais je n’ai pas regardé les versions
#3
Déjà en 5.1.2, donc pas concerné. Mais c’est donc une faille connue depuis un moment ?
#4
Les rapports de vulnérabilités ont été publiés le 11/03/2023 donc ça fait un moment