Après une année 2016 chargée en faille de sécurité, 2017 commence sur les chapeaux de roues avec... une vulnérabilité découverte sur « tous les QNAP NAS exécutant QTS ». En cause, la procédure de mise à jour automatique qui manque de chiffrement. Un correctif arrive nous affirme le fabricant.

F-Secure est une société finlandaise spécialisée dans la cybersécurité. Elle vient de publier un bulletin d'alerte afin d'expliquer que ses chercheurs ont « détecté plusieurs vulnérabilités permettant aux pirates de voler des données et des mots de passe, ou encore d'exécuter des commandes à distance ».

Un manque de chiffrement rend la procédure de mise à jour vulnérable

Le problème débute lorsque le NAS envoie une requête afin de vérifier si une mise à jour de son interface d'administration, le QTS, est disponible : « l'absence de chiffrement permet à des pirates potentiels d'intercepter et de modifier la réponse à cette requête » explique la société. Il s'agit donc d'une attaque de l'homme du milieu.

F-Secure explique que son consultant Harry Sintonen a ainsi développé un prototype permettant d'exploiter cette brèche. Via une fausse mise à jour récupérée automatiquement et que le NAS tente d'installer (il faut visiblement que l'utilisateur valide l'installation, mais il pense être en face d'une mise à jour authentique), il a été en mesure de compromettre le système.

Selon le chercheur, il est ainsi possible de récupérer des droits d'administrateur et donc « d'installer des malwares, d'avoir accès aux données, de disposer des mots de passe stockés et d'exécuter des commandes à distance ». Bref, c'est la porte ouverte à toutes les menaces que l'on peut imaginer, dont les Cryptolocker qui demandent une rançon afin de vous redonner accès à vos données.

QNAP confirme que tous les NAS sont concernés

Harry Sintonen n'a testé son prototype que sur le NAS TVS-663 de QNAP avec l'interface d'administration QTS 4.2 installée, mais « il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes »... ce qui est finalement confirmé par QNAP.

Dans son bulletin de sécurité, le fabricant annonce sans détour que « tous les QNAP NAS exécutant QTS » sont concernés par cette vulnérabilité. Il ajoute tout de même qu'elle « n'est pas facilement exploitée si le NAS est connecté à un environnement câblé ». Cela est dû à la nature même de l'attaque (homme du milieu) qui nécessite d'intercepter les échanges entre le NAS et les serveurs de QNAP.

Pour cette raison, il classe cette vulnérabilité avec un niveau de dangerosité « moyen ». De son côté, F-Secure est plus virulent puisqu'il parle de « risques considérables ». Pour mémoire, les mises à jour du logiciel GoPro Studio ont été épinglées en 2015 pour l'absence de chiffrement ; une erreur qui ne semble pas si rare.

Un correctif est en préparation, une solution temporaire en attendant

Contacté par nos soins, QNAP nous indique que ses équipes « travaillent également sur un patch de sécurité dans les mises à jour du QTS ». Le QTS 4.2.3 devrait ainsi sortir le 24 janvier nous précise le constructeur, tandis qu'il faudra attendre le 20 février pour le QTS 4.3.3.

En attendant, QNAP et F-Secure se rejoignent sur un point : il est recommandé de désactiver les mises à jour automatiques afin d'éviter d'un pirate puisse exploiter cette faille.

QNAP aurait été informé de la faille il y a déjà un an

Reste tout de même une question en suspens. Dans son billet, F-Secure affirme avoir « informé QNAP de ces problèmes en février 2016 mais à ce jour, les chercheurs F-Secure n'ont pas eu connaissance de l'existence d'un patch destiné à corriger ces vulnérabilités ». Nous avons donc demandé à QNAP pourquoi il a fallu attendre presque un an pour qu'une mise à jour soit proposée, sans réponse pour le moment.