Une faille critique touche QNAP NetBak PC Agent via une vulnérabilité dans Microsoft ASP.NET Core. Cette faille permet à des attaquants authentifiés de contourner les mécanismes de sécurité. Les conséquences sur les systèmes de sauvegarde sont majeures.
Faille critique CVE-2025-55315 dans QNAP NetBak PC Agent : un risque pour les sauvegardes
QNAP NetBak PC Agent, utilisé pour les sauvegardes sous Windows, repose sur Microsoft ASP.NET Core. Une vulnérabilité majeure, référencée sous CVE-2025-55315, exploite une faiblesse dans la gestion HTTP des requêtes.
Ce problème, lié à la technique dite HTTP Request Smuggling, provoque une confusion dans l’analyse des requêtes par le serveur web. Résultat : les contrôles de sécurité peuvent être contournés.
Pour les administrateurs, cela signifie un accès non autorisé possible aux données sauvegardées et aux fichiers serveurs, ainsi qu’une perturbation des opérations par déni de service limité.
Fonctionnement technique de la vulnérabilité ASP.NET Core affectant QNAP
La faille réside dans la manière dont ASP.NET Core interprète les requêtes HTTP. Des requêtes spécialement conçues par un attaquant authentifié exploitent cette faiblesse, brouillant la compréhension du serveur.
Le HTTP Request Smuggling crée une désynchronisation entre serveurs proxy et serveurs web. L’attaquant profite de ce décalage pour insérer des requêtes malveillantes non détectées.
Cette méthode est particulièrement dangereuse car elle permet la manipulation de données sensibles, modifie des fichiers critiques, et cause parfois un déni de service.
Mesures immédiates pour sécuriser QNAP NetBak PC Agent
L’environnement affecté inclut tous les systèmes Windows exécutant NetBak PC Agent sans patch ASP.NET Core à jour. L’urgence est grande : sans mise à jour, le risque d’exploitation reste élevé.
QNAP recommande vivement une double approche. Première option : désinstaller puis réinstaller la dernière version de NetBak PC Agent. Cette action met en place automatiquement les correctifs ASP.NET Core nécessaires.
Seconde option, plus technique : télécharger le Runtime Hosting Bundle ASP.NET Core directement de Microsoft et l’installer manuellement, suivi d’un redémarrage complet du système pour appliquer les correctifs.
Pourquoi une mise à jour concise et testée est essentielle
Appliquer un correctif sans validation préalable augmente les risques de dysfonctionnements en production. Il est prudent de tester dans un environnement sécurisé avant déploiement massif.
Les organisations doivent s’assurer que toutes les instances du logiciel NetBak PC Agent sont corrigées pour éviter des disparités de sécurité. Un maillon faible suffit à compromettre l’ensemble.
L’incident souligne la nécessité de maintenir une veille stricte sur les dépendances logicielles, notamment celles liées à la gestion des sauvegardes critiques.
Source: gbhackers.com
- Faille Critique dans QNAP .NET : Comment les Assaillants Contournent les Mécanismes de Sécurité - novembre 28, 2025
- QNAP dévoile la bêta de QuTS hero h6.0 : haute disponibilité Dual-NAS et nombreuses nouveautés - novembre 28, 2025
- Dell annonce une stabilité des ventes de PC malgré un passage progressif à Windows 11 - novembre 28, 2025
