Sept failles zero-day critiques ont été découvertes sur les NAS QNAP lors de Pwn2Own Ireland 2025. Ces vulnérabilités touchent les systèmes d’exploitation QTS et QuTS hero ainsi que plusieurs applications clés. QNAP a immédiatement publié des correctifs pour limiter les dégâts potentiels.
La gravité de ces failles réside dans leur exploitation possible à distance sans authentification. Elles peuvent entraîner une prise de contrôle totale des appareils. Une mise à jour rapide s’impose pour toute entreprise utilisant ces serveurs de stockage.
Failles zero-day découvertes sur NAS QNAP lors de Pwn2Own Ireland 2025
Durant la compétition Pwn2Own 2025, plusieurs équipes de chercheurs en sécurité ont montré l’exploitation de sept vulnérabilités zero-day affectant les NAS QNAP. Les systèmes QTS et QuTS hero sont concernés, ainsi que plusieurs applications natives dont Hyper Data Protector, Malware Remover et HBS 3 Hybrid Backup Sync.
Leurs découvertes ont mis en lumière des failles majeures dans la gestion mémoire et la validation d’entrées, induisant des dépassements de tampon et des use-after-free. Des composants comme quick.cgi étaient au cœur des exploitations.
Impact technique des failles sur QTS, QuTS hero et applications associées
Les vulnérabilités CVE-2025-62847 à CVE-2025-62849 affectent les systèmes QTS et QuTS hero, permettant l’exécution de code à distance non authentifié. Les attaques via ces failles exploitent des erreurs de gestion mémoire dans le noyau ou au niveau des CGI handlers.
Dans les applications Malware Remover, Hyper Data Protector et HBS 3, les failles prennent la forme d’injections de commandes ou de traversées de chemins critiques, remettant en cause la confidentialité et l’intégrité des sauvegardes. Un vrai cauchemar pour les administrateurs réseaux.
Ces brèches autorisent non seulement la lecture et la modification des fichiers, mais aussi un contrôle administratif complet du NAS. La menace est donc loin d’être théorique.
Les conséquences d’une exploitation réussie : pourquoi agir sans délai
Le vecteur principal ici est l’exécution de code à distance sans authentification préalable. Cela se traduit par un escalade des privilèges et un contrôle total du serveur affecté. Le pire ? Les fichiers de sauvegarde peuvent être compromis ou chiffrés à dessein.
Parfois, des attaques en chaîne peuvent aboutir à un déni de service impactant la disponibilité. Ce type d’attaque ciblant les NAS peut constituer la porte d’entrée à des campagnes de ransomware ou d’extorsion de données.
Quelles mesures mettre en place pour protéger les NAS QNAP ?
QNAP propose des mises à jour ciblées à appliquer sans délai : QTS 5.2.7.3297 et QuTS hero h5.2.7.3297 ou plus récents. Les versions des applications concernées sont également à mettre à jour impérativement.
Au-delà des correctifs, la réinitialisation des mots de passe administrateurs, la segmentation du trafic réseau et la surveillance accrue des logs CGI sont recommandées. Un plan d’action sécurisé ne repose jamais sur un seul remède.
L’introduction d’outils de détection d’intrusion et d’analyses comportementales doit compléter la défense face à ces menaces sophistiquées.
Failles runC affectant Docker et Kubernetes : un nouveau front à surveiller
En parallèle, trois failles sévères affectent le runtime container runC, essentiel à Docker et Kubernetes. Ces vulnérabilités permettent un contournement des isolations en mode conteneur via une mauvaise gestion des montages ou des liens symboliques.
Cette faille menace l’intégrité des environnements containerisés sur les serveurs, puisque les attaquants pourraient obtenir un accès en écriture au système hôte. Aucune attaque active n’est constatée pour l’instant, mais la prudence s’impose.
Les administrateurs doivent appliquer rapidement les correctifs runC versions 1.2.8, 1.3.3 ou ultérieures, activer les namespaces utilisateur et privilégier les conteneurs rootless.
Source: socradar.io
- Windows 11 : Test complet des mises à jour de mars 2026 – Nouvelles fonctionnalités, améliorations et corrections détaillées - mars 12, 2026
- Windows 11 KB5079473 : nouveautés et liens de téléchargement direct pour une installation hors ligne - mars 11, 2026
- fonctionnalités de Windows 11 qui ralentissent votre ordinateur - mars 10, 2026
