Les NAS QNAP avec QTS touchés par une faille de sécurité, un correctif arrive

2017, l'année du chiffrement ?
Les NAS QNAP avec QTS touchés par une faille de sécurité, un correctif arrive

Après une année 2016 chargée en faille de sécurité, 2017 commence sur les chapeaux de roues avec... une vulnérabilité découverte sur « tous les QNAP NAS exécutant QTS ». En cause, la procédure de mise à jour automatique qui manque de chiffrement. Un correctif arrive nous affirme le fabricant.

F-Secure est une société finlandaise spécialisée dans la cybersécurité. Elle vient de publier un bulletin d'alerte afin d'expliquer que ses chercheurs ont « détecté plusieurs vulnérabilités permettant aux pirates de voler des données et des mots de passe, ou encore d'exécuter des commandes à distance ».

Un manque de chiffrement rend la procédure de mise à jour vulnérable

Le problème débute lorsque le NAS envoie une requête afin de vérifier si une mise à jour de son interface d'administration, le QTS, est disponible : « l'absence de chiffrement permet à des pirates potentiels d'intercepter et de modifier la réponse à cette requête » explique la société. Il s'agit donc d'une attaque de l'homme du milieu. 

F-Secure explique que son consultant Harry Sintonen a ainsi développé un prototype permettant d'exploiter cette brèche. Via une fausse mise à jour récupérée automatiquement et que le NAS tente d'installer (il faut visiblement que l'utilisateur valide l'installation, mais il pense être en face d'une mise à jour authentique), il a été en mesure de compromettre le système.

Selon le chercheur, il est ainsi possible de récupérer des droits d'administrateur et donc « d'installer des malwares, d'avoir accès aux données, de disposer des mots de passe stockés et d'exécuter des commandes à distance ». Bref, c'est la porte ouverte à toutes les menaces que l'on peut imaginer, dont les Cryptolocker qui demandent une rançon afin de vous redonner accès à vos données. 

QNAP confirme que tous les NAS sont concernés

Harry Sintonen n'a testé son prototype que sur le NAS TVS-663 de QNAP avec l'interface d'administration QTS 4.2 installée, mais « il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes »... ce qui est finalement confirmé par QNAP.

Dans son bulletin de sécurité, le fabricant annonce sans détour que « tous les QNAP NAS exécutant QTS » sont concernés par cette vulnérabilité. Il ajoute tout de même qu'elle « n'est pas facilement exploitée si le NAS est connecté à un environnement câblé ». Cela est dû à la nature même de l'attaque (homme du milieu) qui nécessite d'intercepter les échanges entre le NAS et les serveurs de QNAP.

Pour cette raison, il classe cette vulnérabilité avec un niveau de dangerosité « moyen ». De son côté, F-Secure est plus virulent puisqu'il parle de « risques considérables ». Pour mémoire, les mises à jour du logiciel GoPro Studio ont été épinglées en 2015 pour l'absence de chiffrement ; une erreur qui ne semble pas si rare.

Un correctif est en préparation, une solution temporaire en attendant

Contacté par nos soins, QNAP nous indique que ses équipes « travaillent également sur un patch de sécurité dans les mises à jour du QTS ». Le QTS 4.2.3 devrait ainsi sortir le 24 janvier nous précise le constructeur, tandis qu'il faudra attendre le 20 février pour le QTS 4.3.3. 

En attendant, QNAP et F-Secure se rejoignent sur un point : il est recommandé de désactiver les mises à jour automatiques afin d'éviter d'un pirate puisse exploiter cette faille.

QNAP Firmware live update

QNAP aurait été informé de la faille il y a déjà un an

Reste tout de même une question en suspens. Dans son billet, F-Secure affirme avoir « informé QNAP de ces problèmes en février 2016 mais à ce jour, les chercheurs F-Secure n'ont pas eu connaissance de l'existence d'un patch destiné à corriger ces vulnérabilités ». Nous avons donc demandé à QNAP pourquoi il a fallu attendre presque un an pour qu'une mise à jour soit proposée, sans réponse pour le moment.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

7 commentaires
Avatar de floop Abonné
Avatar de floopfloop- 19/01/17 à 11:00:09

j'ai l'impression que synology est un peu plus reactif sur ce point, je recois regulierement des mise a jour de secu a installer..

Avatar de Mikiya83 Abonné
Avatar de Mikiya83Mikiya83- 19/01/17 à 11:06:20

Chez QNAP aussi, seulement celle la par contre ça reste à voir. Si ça fait réellement 1 an, ça craint et ce n'est pas pro de leur part. Par contre si ils la découvrent la (que ce soit F-Secure qui ne dit pas tout ou un soucis dans la remontée de la faille), une mise à jour est prévue pour le 24 janvier c'est correct.

Avatar de Beurt-le-vrai Abonné
Avatar de Beurt-le-vraiBeurt-le-vrai- 19/01/17 à 11:06:57

Il y a aussi depuis un an ou deux des maj très fréquentes sur QNAP (quelque chose comme tous les deux ou trois mois max.)... Mais, aucun système n’est invulnérable : il faut être plus que vigilant en particulier sur les trucs connectés en permanence. Les maj auto par exemple ça semble assez imprudent en général.

Édité par Beurt-le-vrai le 19/01/2017 à 11:07
Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 19/01/17 à 11:07:58

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 19/01/17 à 18:37:29

Bon, c'était quoi l'excuse de QNAP pour pas mettre de chiffrement sur ses mises à jour ?

C'est pourtant quelque chose qui me paraît élémentaire, mais je dois me faire des idées...

Avatar de ubireedoff Abonné
Avatar de ubireedoffubireedoff- 20/01/17 à 13:28:24

Moi qui viens d'investir dans un Qnap ... Je suis maudit...

Avatar de nick_t Abonné
Avatar de nick_tnick_t- 20/01/17 à 14:38:02

Surtout au prix où ils vendent leurs jouets

Il n'est plus possible de commenter cette actualité.

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact