QNAP a récemment publié une série de correctifs importants pour ses appareils NAS. Ces mises à jour ciblent sept vulnérabilités zero-day exploitées lors du concours Pwn2Own 2025 en Irlande. Ces failles touchaient notamment des systèmes et applications clés de l’écosystème QNAP.
Les vulnérabilités identifiées affectaient les systèmes d’exploitation QTS et QuTS hero ainsi que des logiciels comme Hyper Data Protector, Malware Remover, et HBS 3 Hybrid Backup Sync. Ces failles permettaient notamment l’exécution de codes à distance, un risque majeur en termes de sécurité.
QNAP recommande vivement une mise à jour rapide. Ne pas appliquer ces patchs expose à des attaques potentielles, un luxe qu’aucune infrastructure réseau actuelle ne peut se permettre.
Sept vulnérabilités critiques corrigées sur QNAP après Pwn2Own 2025
Plusieurs failles zero-day ont été exploitées par des chercheurs lors du célèbre concours Pwn2Own 2025 à Dublin. Ces vulnérabilités concernaient les systèmes d’exploitation NAS QTS et QuTS hero ainsi que plusieurs applications d’accompagnement.
Les vulnérabilités corrigées portent les identifiants CVE suivants : CVE-2025-62847, CVE-2025-62848, CVE-2025-62849 pour QTS et QuTS hero. Ensuite CVE-2025-11837 a affecté Malware Remover. CVE-2025-59389 touchait Hyper Data Protector. Enfin, HBS 3 a été concerné par CVE-2025-62840 et CVE-2025-62842.
Ces vulnérabilités permettent d’exécuter du code à distance, une menace sérieuse qui casse la confiance dans ces solutions de stockage essentielles pour les entreprises et particuliers.
Des risques sérieux pour la sécurité des données
L’exploitation de ces failles offre aux attaquants une porte d’entrée directe sur les NAS visés. C’est une faille fatale pour la confidentialité et l’intégrité des données stockées. Le risque d’intrusion, de vol ou de sabotage des informations devient réel.
Des logiciels comme Malware Remover et Hyper Data Protector, essentiels pour la gestion des menaces, ont été affectés. Compte tenu de leur rôle, ces failles affaiblissaient la protection elle-même. Une spirale dangereuse.
Les systèmes infectés ou mal mis à jour peuvent devenir des vecteurs d’attaques plus larges. S’en remettre à ces outils sans appliquer les correctifs serait une faute d’état, dans le contexte actuel de cybermenaces accrues.
Versions à jour et recommandations pour les administrateurs
QNAP alerte les utilisateurs à l’importance de passer aux versions corrigées. Il s’agit de :
– Hyper Data Protector 2.2.4.1 ou versions ultérieures
– Malware Remover 6.6.8.20251023 ou plus récent
– HBS 3 Hybrid Backup Sync 26.2.0.938 et suivantes
– QTS 5.2.7.3297 build 20251024 ou au-delà
– QuTS hero h5.2.7.3297 et h5.3.1.3292 build 20251024
Ces mises à jour sont indispensables pour sécuriser les environnements utilisant ces solutions NAS. Elles corrigent les portes dérobées potentiellement ouvertes lors des attaques.
Des équipes white-hat à l’origine de la découverte
Les failles ont été démontrées par une coalition de hackers éthiques issue des groupes Summoning Team, DEVCORE et Team DDOS, ainsi qu’un stagiaire CyCraft. Leur travail au concours Pwn2Own est primordial pour tester la résilience des systèmes.
Ces démonstrations publiques permettent aux fabricants comme QNAP de réagir rapidement avec des correctifs avant que des acteurs malveillants ne s’engouffrent dans la brèche.
Rappelons que cette démarche est une pierre angulaire de la sécurité informatique : détecter avant que le mal n’arrive, pas après.
Source: securityaffairs.com
- Annonce de la version Insider Preview de Windows 11 Build 26220.7653 sur le canal Bêta - janvier 17, 2026
- CES 2026 : Découvrez les dernières innovations PC sous Windows 11 à travers tout l’écosystème - janvier 16, 2026
- Que s’est-il passé avec mon menu Démarrer ? Découvrez la refonte de Windows 11 - janvier 15, 2026
