QNAP a corrigé plusieurs failles sévères dans son application de sauvegarde Hybrid Backup Sync (HBS). Ces vulnérabilités concernent des risques d’exécution de code à distance grâce à des failles dans le composant rsync. Les administrateurs doivent appliquer la mise à jour sans délai afin de protéger leurs environnements NAS.
Failles majeures affectant l’application de sauvegarde Hybrid Backup Sync de QNAP
L’outil HBS de QNAP, utilisé pour la sauvegarde et la récupération des données, s’appuie sur rsync, un protocole open source de synchronisation de fichiers. Six vulnérabilités critiques ont été découvertes dans ce composant. Elles permettent à un attaquant, avec un accès en lecture anonyme, de prendre contrôle à distance des équipements NAS vulnérables.
Ces failles, cataloguées sous les identifiants CVE-2024-12084 à CVE-2024-12088, touchent spécifiquement la version 25.1.x de HBS 3. Elles ouvrent la voie à une exécution arbitraire de code, compromettant la sécurité des données et du système. Un simple accès en lecture suffit pour exploiter ces vulnérabilités.
Les risques concrets liés à ces vulnérabilités rsync
Grâce à ces failles, un acteur malveillant peut exécuter du code arbitraire sur les serveurs NAS. Cela compromet tout l’environnement IT, notamment la confidentialité, l’intégrité et la disponibilité des données sauvegardées. En exploitant ces vulnérabilités, un attaquant peut modifier ou voler les fichiers, voire perturber les services hébergés sur le NAS.
Le CERT/CC avait initialement signalé que rsync 3.4.0 pouvait permettre l’exploitation à distance via un débordement de mémoire et une fuite d’informations. Ces faiblesses, combinées, facilitent un contrôle total sur le serveur ciblé. Pour QNAP, c’est une alerte majeure à prendre très au sérieux.
Mise à jour impérative : comment sécuriser votre système QNAP
QNAP recommande vivement l’installation immédiate de la version 25.1.4.952 de HBS 3. Les administrateurs doivent se connecter à l’interface QTS ou QuTS hero avec un compte admin, ensuite accéder à l’App Center pour effectuer la mise à jour. Cette démarche est simple mais cruciale pour éviter toute exploitation des vulnérabilités.
La vitesse de propagation et le nombre conséquent de serveurs rsync exposés sur internet – plus de 700 000 IP selon les experts – rendent l’urgence évidente. Une machine non patchée est une porte ouverte aux attaques automatisées.
Importance stratégique de maintenir le logiciel à jour sur les NAS
Appliquer les correctifs rapidement limite les risques d’intrusion, en particulier face à des vulnérabilités critiques. La gestion stricte des accès au NAS doit accompagner cette maintenace. Restreindre les droits en lecture anonyme, contrôler les flux et assurer une supervision constante sont impératifs.
On ne doit pas sous-estimer la complexité d’une attaque réussie sur un NAS mal protégé. Le stockage centralisé des données en fait une cible précieuse. Donc agir vite pour clôturer ces failles est une démarche indispensable pour toute entreprise dépendante de la continuité de ses services.
Source: www.yahoo.com
- Microsoft s’attaque enfin au problème des applications web sous Windows 11 : une amélioration attendue de longue date - avril 8, 2026
- Pourquoi Microsoft impose la mise à jour Windows 11 25H2 à tous les PC éligibles - avril 7, 2026
- Téléchargez l’ISO Windows 11 25H2 (installateur hors ligne) et conservez toujours une copie sécurisée - avril 6, 2026
