Avis sécurité QNAP du 03 février 2024

5/5 - (6 votes)

Avis sécurité QNAP du 03 février 2024

Découverte de multiples vulnérabilités dans les produits Qnap. Notamment des vulnérabilités d’injection de commandes du système d’exploitation QNAP, une vulnérabilité d’autorisation incorrecte, une vulnérabilité de script intersite (XSS). Certaines d’entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une exécution de code arbitraire à distance et un déni de service à distance DDoS.

Bulletins de sécurité Qnap du 03 février 2024. Il a été signalé que plusieurs copies de tampon sans vérifier la taille des vulnérabilités d’entrée affectaient certaines versions du système d’exploitation QNAP. Si elles sont exploitées, ces vulnérabilités pourraient permettre à des administrateurs authentifiés d’exécuter du code via un réseau. Il a été signalé qu’une vulnérabilité d’injection de commandes du système d’exploitation affecte certaines versions du système d’exploitation QNAP. Si elle est exploitée, la vulnérabilité pourrait permettre aux utilisateurs d’exécuter des commandes via un réseau lorsque le système est dans une certaine configuration. Il a été signalé qu’une vulnérabilité d’injection de commandes du système d’exploitation affecte certaines versions du système d’exploitation QNAP. Si elle est exploitée, la vulnérabilité pourrait permettre à des utilisateurs authentifiés d’exécuter des commandes via un réseau. Il a été signalé qu’une vulnérabilité d’autorisation incorrecte affectait certaines versions du système d’exploitation QNAP. Si elle est exploitée, la vulnérabilité pourrait permettre aux utilisateurs authentifiés de contourner les restrictions d’accès prévues via un réseau.

CVE-2023-47561 : Si elle est exploitée, la vulnérabilité de script intersite (XSS) pourrait permettre aux utilisateurs authentifiés d’injecter du code malveillant via un réseau.
CVE-2023-47562 : Si elle est exploitée, la vulnérabilité d’injection de commandes du système d’exploitation pourrait permettre aux utilisateurs authentifiés d’exécuter des commandes via un réseau.

CVE-2023-47564 : Il a été signalé qu’une attribution d’autorisation incorrecte pour une vulnérabilité de ressource critique affectait Qsync Central. Si elle est exploitée, la vulnérabilité pourrait permettre aux utilisateurs authentifiés de lire ou de modifier des ressources critiques via un réseau.

 


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.

Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

XSS, Code arbitraire, DDoS

A propos de l'auteur

Retour en haut