BULLETIN DE SÉCURITÉ QNAP DU 16 JUIN 2021

5/5 - (1 vote)

BULLETIN DE SÉCURITÉ QNAP DU 16 JUIN 2021

Vulnérabilité de lecture hors limites SMB résolue dans QTS et QuTS hero

CVE-2021-20254 – Gravité moyenne – Concerne tous les NAS QNAP. Une vulnérabilité de lecture hors limites SMB a été signalée comme affectant les NAS QNAP exécutant QTS et QuTS hero. Si elle est exploitée, cette vulnérabilité permet aux attaquants d’obtenir des informations sensibles sur le système.

Pour sécuriser votre appareil, nous vous recommandons fortement de mettre régulièrement à jour votre système vers la dernière version pour bénéficier des correctifs de vulnérabilité. Vous pouvez vérifier l’ état du support produit pour voir les dernières mises à jour disponibles pour votre modèle de NAS.
(Sources)

Cette vulnérabilité a été corrige dans les versions suivantes :

QTS 4.5.3.1670 Build 20210515 et versions ultérieures
QuTS hero h4.5.3.1670 build 20210515 et versions ultérieures
QuTScloud c4.5.5.1656 build 20210503 et versions ultérieures
(Sources) https://www.qnap.com/fr-fr/security-advisory/qsa-21-27

Vulnérabilité dans les produits Qnap

Une vulnérabilité a été découverte dans les produits Qnap. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données. (Sources)


Un serveur de stockage en réseau, également appelé stockage en réseau NAS, boîtier de stockage en réseau ou plus simplement NAS, est un serveur de fichiers autonome, relié à un réseau, dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. 

Le NAS est souvent comparé au service de stockage et de partage de copies de fichiers locaux en ligne proposé par Dropbox. Ce qui fait la particularité du NAS, c'est son gros volume de stockage  et son partage avec de multiples appareils. Les solutions de serveurs NAS sont largement représentées par les entreprises taïwanaises Synology et QNAP.

Depuis 2020, les serveurs NAS font l'objet de cyberattaques qui se propagent via des campagnes de phishing afin de diffuser des charges utiles de rançongiciels comme ECh0raix.


Qnap Systems, Inc. est un constructeur informatique basé à Taïwan et spécialisé dans les solutions de stockage réseau pour les particuliers et les entreprises. En se concentrant sur les innovations dans les domaines du stockage, du réseau et de la vidéo intelligente, QNAP présente maintenant une solution NAS cloud révolutionnaire qui s’intègre dans un logiciel innovant basé sur un abonnement et un écosystème de canaux de service polyvalent.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples.

La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

Retour haut de page