QNAP vient de publier un correctif important après la découverte de sept vulnérabilités zero-day lors du concours Pwn2Own en Irlande. Ces failles ciblaient les systèmes d’exploitation QTS et QuTS hero sur plusieurs versions. Leur exploitation pouvait compromettre gravement l’intégrité et la confidentialité des données stockées sur ces NAS.
Les attaques démontrées ont mis en lumière des faiblesses critiques, notamment au niveau du noyau et de l’interface web. Les correctifs déployés renforcent la sécurité des appareils, mais la vigilance reste de mise pour les administrateurs.
Ce cas illustre parfaitement l’importance des bug bounties et de mises à jour régulières pour protéger les infrastructures sensibles.
QNAP corrige sept vulnérabilités Zero-Day critiques exposées lors de Pwn2Own 2025
Le concours de hacking Pwn2Own Ireland, organisé en octobre, a permis de dévoiler plusieurs failles dans les NAS QNAP. Quatre CVE majeures ainsi que trois vulnérabilités référencées par ZDI étaient en cause. Ces brèches concernaient les versions QTS 5.2.x et QuTS hero h5.2.x/h5.3.x.
Les attaques exploitant ces failles offrent un accès à distance complet en exécutant du code arbitraire et en escaladant les privilèges administrateurs. L’impact peut mener à un contrôle total du système.
Des chercheurs expérimentés, encadrés par des équipes telles que Summoning Team ou DEVCORE, ont su enchaîner ces failles dans un environnement contrôlé. Cela révèle une faille systémique dans la validation d’entrées sur ces plateformes.
Des failles critiques dans le noyau et l’interface web des NAS QNAP
Les vulnérabilités découvertes exploitent notamment des débordements de mémoire tampon et des erreurs use-after-free dans les handlers CGI. Ces bugs permettent une injection de commandes sans authentification préalable.
Une des techniques utilisées cible par exemple un overflow sur le composant quick.cgi. Sur un NAS fraichement configuré, il est possible d’exécuter des commandes shell. Sur un système déjà initialisé, ce vecteur est combiné à une escalade de privilèges.
Ces attaques font écho à des problèmes historiques sur QNAP, mais elles atteignent désormais un niveau zero-click, rendant l’exploitation encore plus pernicieuse.
Les mises à jour déployées pour colmater ces failles et recommandations
Depuis le 24 octobre, QNAP propose des correctifs firmware sur les branches affectées. Pour QTS 5.2.x, la version 5.2.7.3297 build 20251024 intègre les protections renforcées. Les firmwares QuTS hero h5.2.x et h5.3.x suivent avec des versions équivalentes.
Ces mises à jour corrigent la validation des entrées, durcissent le noyau et éliminent les failles d’authentification permettant l’exécution de code distant. Elles corrigent également des vulnérabilités spécifiques à l’intégration ZFS.
La diffusion s’effectue via le panneau de configuration ou le centre de téléchargement QNAP pour les environnements isolés.
Au-delà des OS : les applis QNAP également concernées
Les vulnérabilités ne s’arrêtent pas au système d’exploitation. Certaines applications intégrées comme HBS 3 Hybrid Backup Sync présentent une faille de traversée de chemin. Cela autorise l’accès illégal aux sauvegardes.
Le composant Malware Remover aussi est vulnérable à une injection de commandes via son moteur d’analyse. Ce type d’erreur peut ouvrir la porte à des attaques en chaîne.
Pour les entreprises, ces lacunes soulignent le risque accru de compromission des flux et des données, menaçant notamment l’intégrité de la chaîne logistique.
Mesures complémentaires à adopter pour limiter les risques post-exploitation
QNAP recommande la rotation immédiate des mots de passe sur les appareils concernés. Il est judicieux de segmenter le trafic NAS avec des VLAN pour limiter la propagation éventuelle d’une intrusion.
Surveillance accrue des journaux CGI et déploiement d’IDS sont préconisés pour détecter toute activité inhabituelle rapidement. La gestion des accès doit également être réévaluée et renforcée.
Ces mesures viennent renforcer les correctifs et offrir une posture de sécurité plus robuste face à une menace de plus en plus ciblée sur les NAS.
Source: cybersecuritynews.com
- Annonce de la version Insider Preview de Windows 11 Build 26220.7653 sur le canal Bêta - janvier 17, 2026
- CES 2026 : Découvrez les dernières innovations PC sous Windows 11 à travers tout l’écosystème - janvier 16, 2026
- Que s’est-il passé avec mon menu Démarrer ? Découvrez la refonte de Windows 11 - janvier 15, 2026
