Le célèbre fabricant de NAS QNAP signale deux vulnérabilités très dangereuses dans ses produits réseau et une autre vulnérabilité dans son client de périphérique VPN pour Windows. Une attaque à distance est possible à travers les lacunes - des correctifs appropriés sont disponibles.
Les vulnérabilités annoncées par QNAP affectent de nombreuses applications utilisées dans les produits réseau. Les services opèrent et travaillent également dans de grands systèmes NAS pour le secteur des PME. Par conséquent, en plus des systèmes NAS ou des caméras plus petits à usage privé, de nombreux produits d'entreprise sont également affectés par les failles de sécurité.
Prise de contrôle à distance pour attaque DoS possible
QNAP signale qu'une vulnérabilité liée à la consommation incontrôlée des ressources affecte plusieurs systèmes d'exploitation QNAP. Si la vulnérabilité est exploitée, les utilisateurs distants peuvent lancer une attaque par déni de service (DoS). La vulnérabilité est répertoriée comme CVE-2022-27600. La valeur CVSS exacte n'est pas connue, mais doit être comprise entre 7.0 et 8.9 pour Très dangereux.
La vulnérabilité a déjà été corrigée dans les versions suivantes disponibles pour mise à jour :
- QTS 5.0.1.2277 Build 20230112 et versions ultérieures
- QTS 4.5.4.2280 Build 20230112 et versions ultérieures
- QuTS hero h5.0.1.2277 build 20230112 et versions ultérieures
- QuTS hero h4.5.4.2374 build 20230417 et versions ultérieures
- QuTScloud c5.0.1.2374 build 20230419 et versions ultérieures
- Appareil QVR Pro 2.3.1.0476 et versions ultérieures
Une autre vulnérabilité dans le QVPN Device Client
De plus, QNAP signale une vulnérabilité dans son QVPN Device Client pour Windows. La vulnérabilité est également considérée comme très dangereuse sous CVE-2022-27595. Là, le chargement des bibliothèques n'est pas sécurisé et peut affecter les appareils exécutant le client d'appareil QVPN pour Windows. Si elle est exploitée, cette vulnérabilité pourrait permettre aux utilisateurs authentifiés localement d'exécuter du code en chargeant la bibliothèque de manière non sécurisée. Le client de périphérique QVPN pour macOS, Android et iOS n'est pas affecté par la vulnérabilité.
Une mise à jour est également disponible pour cette lacune :
QVPN Device Client pour Windows, version 2.0.0.1316 et supérieure
Plus sur QNAP.com