QNAP a publié un ensemble de correctifs majeurs destinés à combler plusieurs vulnérabilités critiques affectant ses NAS. Ces failles ont été exposées lors du concours de hacking Pwn2Own en Irlande. L’enjeu est sérieux, plusieurs exploits combinants des défauts enchaînés ont permis des attaques sophistiquées.
Le constructeur taïwanais s’est rapidement mobilisé pour sortir des patchs de sécurité et éviter toute exploitation massive. Les professionnels doivent impérativement appliquer ces mises à jour sans délai. Voici un point synthétique sur les failles exploitées et les solutions apportées.
Correctifs QNAP pour plusieurs vulnérabilités zero-day révélées à Pwn2Own Irlande
QNAP a déployé un ensemble de correctifs couvrant près d’une vingtaine de vulnérabilités, dont sept zero-day démontrées pendant la compétition Pwn2Own Ireland. Ces failles touchaient à la fois des routeurs et des NAS, compromettant significativement l’intégrité et la confidentialité des données.
Le plus remarquable est l’exploit présenté par l’équipe DDOS. Elle a enchaîné huit vulnérabilités différentes au cours du concours pour pénétrer les systèmes. Ce travail a été rémunéré à hauteur de 100 000 $.
Pour répondre à ces risques, QNAP a livré la nouvelle version 26.2.0.938 du logiciel HBS 3 Hybrid Backup Sync. Ce patch corrige notamment deux failles critiques identifiées comme CVE-2025-62840 et CVE-2025-62842. Les utilisateurs doivent aussi absolument changer tous leurs mots de passe après mise à jour.
Exploits permettant l’injection de code et multiplication des risques
Par ailleurs, les chercheurs de DEVCORE ont démontré trois vulnérabilités exploitables conjointement pour compromettre les systèmes. Elles sont référencées CVE-2025-62847, 62848 et 62849. Leur nature mêle injection et format string bugs, une combinaison redoutable.
QNAP a corrigé ces failles dans les versions QTS 5.2.7.3297 et QuTS hero 5.2.7.3297 comme 5.3.1.3292. Ces correctifs sont essentiels car les vulnérabilités permettent l’exécution de codes arbitraires, très préjudiciable pour la sécurité.
L’absence de ces correctifs exposerait à des prises de contrôle à distance rendant les données accessibles à des attaquants.
Autres vulnérabilités critiques patchées après démonstration
La compétition a aussi mis en lumière un défaut d’injection de code dans l’application Malware Remover, référencé CVE-2025-11837. Ce bug critique fut montré sur un NAS QNAP TS-453E par le chercheur Chumy Tsai, qui a reçu 20 000 $ pour sa découverte.
QNAP a réagi en publiant la version 6.6.8.20251023 de Malware Remover. Ce correctif empêche désormais une exécution arbitraire de code par exploitation du défaut.
De plus, le système Hyper Data Protector a aussi fait l’objet de correctifs majeurs. La vulnérabilité CVE-2025-59389 illustrée par la chaîne d’exploits combinant « hardcoded credentials » et injection de code a valu 20 000 $ au chercheur Sina Kheirkhah.
Patchs étendus aux autres services et modules
Outre les enjeux critiques, d’autres failles affectaient plusieurs composants secondaires mais sensibles. QNAP a publié des mises à jour pour QuMagie, Download Station, File Station 5, Notification Center, Qsync Central et QuLog Center.
Ces failles pourraient entraîner diverses attaques : divulgation d’information, bypass des mécanismes de sécurité, déni de service (DoS) ou encore exécution de code à distance. L’impact cumulatif aurait pu être significatif sans interventions.
L’absence de signes d’exploitation à large échelle ne les dispense pas d’être corrigées immédiatement pour garantir la robustesse des environnements.
Source: www.securityweek.com
- Windows 11 : Test complet des mises à jour de mars 2026 – Nouvelles fonctionnalités, améliorations et corrections détaillées - mars 12, 2026
- Windows 11 KB5079473 : nouveautés et liens de téléchargement direct pour une installation hors ligne - mars 11, 2026
- fonctionnalités de Windows 11 qui ralentissent votre ordinateur - mars 10, 2026
