Qnap signale trois vulnérabilités critiques dans ses systèmes NAS. L’entreprise a publié une mise à jour que tout le monde doit installer immédiatement.
La société taïwanaise Qnap signale que trois vulnérabilités ont été identifiées dans le système d’exploitation de ses appareils NAS. La plus grave est la CVE-2024-21899 qui permet aux pirates de contourner le processus d’authentification dans QTS 5.1. Si on ajoute à cela les deux autres vulnérabilités, CVE-2024-21900 et CVE-2024-21901 les pirates peuvent potentiellement injecter du code malveillant et exécuter des commandes sur un NAS.
Qnap insiste sur le fait qu’il s’agit d’une vulnérabilité critique et que la mise à jour est essentielle. Les systèmes d’exploitation suivants sont concernés :
| Produit concerné | Version sécurisée |
| QTS 5.1.x | QTS 5.1.3.2578 build 20231110 ou plus récent |
| QTS 4.5.x | QTS 4.5.4.2627 build 20231225 ou plus récent |
| QuTS hero h5.1.x | QuTS hero h5.1.3.2578 build 20231110 ou plus récent |
| QuTS hero h4.5.x | QuTS hero h4.5.4.2626 build 20231225 ou plus récent |
| QuTScloud c5.x | QuTScloud c5.1.5.2651 ou plus récent |
| myQNAPcloud 1.0.x | myQNAPcloud 1.0.52 (2023/11/24) ou plus récent |
Il va de soi que tout appareil connecté a besoin de mises à jour régulières. Avec Qnap en particulier, on peut facilement le faire dans QTS, QuTS hero ou QuTScloud via l’interface web. Allez dans Panneau de configuration, Système et choisissez Mise à jour du micrologiciel. Sous Mise à jour en direct, sélectionnez l’option de recherche de mises à jour. La dernière version, plus sûre, sera alors automatiquement installée.
Qnap a déjà dû corriger des vulnérabilités critiques auparavant. Fin 2023, elle a déjà dû corriger deux vulnérabilités critiques en toute hâte, après avoir tiré la sonnette d’alarme début 2023 avec un nouveau correctif pour une vulnérabilité critique.