La société taïwanaise QNAP a demandé cette semaine à ses clients de désactiver le protocole de service de fichiers AFP sur leurs appareils de stockage en réseau (NAS) jusqu’à ce qu’il corrige plusieurs vulnérabilités critiques de Netatalk.
Netatalk est une implémentation open source d’AFP (abréviation d’Apple Filing Protocol) qui permet aux systèmes *NIX/*BSD d’agir en tant que serveur de fichiers AppleShare (AFP) pour les clients macOS.
Sur les appareils NAS QNAP, AFP permet aux systèmes macOS d’accéder aux données sur le NAS. Selon QNAP, il est toujours utilisé car il « prend en charge de nombreux attributs macOS uniques qui ne sont pas pris en charge par d’autres protocoles ».
Les membres de l’équipe EDG du groupe NCC ont exploité l’une de ces failles de sécurité, identifiée comme CVE-2022-23121 et noté avec un score de gravité de 9,8/10pour réaliser l’exécution de code à distance sans authentification lors du concours de piratage Pwn2Own 2021 sur un NAS Western Digital PR4100 exécutant le micrologiciel My Cloud OS.
Trois des autres bugs contre lesquels QNAP a mis en garde ses clients ont également reçu des cotes de gravité de 9,8/10 (c’est-à-dire, CVE-2022-23125, CVE-2022-23122, CVE-2022-0194), tous permettant également à des attaquants non authentifiés d’exécuter du code arbitraire à distance sans nécessiter d’authentification sur des appareils non corrigés.
Le 22 mars, l’équipe de développement de Netatalk a publié version 3.1.13 pour corriger ces bugs de sécurité, trois mois après le signalement des failles suite au concours Pwn2Own.
QNAP indique que les vulnérabilités Netatalk (corrigées dans QTS 4.5.4.2012 build 20220419 et versions ultérieures) ont un impact sur les versions de système d’exploitation suivantes :
- QTS 5.0.x et versions ultérieures
- QTS 4.5.4 et versions ultérieures
- QTS 4.3.6 et versions ultérieures
- QTS 4.3.4 et versions ultérieures
- QTS 4.3.3 et versions ultérieures
- QTS 4.2.6 et versions ultérieures
- QuTS hero h5.0.x et versions ultérieures
- QuTS hero h4.5.4 et versions ultérieures
- QuTScloud c5.0.x
QNAP : Désactiver AFP jusqu’à ce que le firmware soit corrigé
« QNAP enquête en profondeur sur l’affaire. Nous publierons des mises à jour de sécurité pour toutes les versions du système d’exploitation QNAP concernées et fournirons des informations supplémentaires dès que possible », a déclaré le fabricant de NAS.
« Pour atténuer ces vulnérabilités, désactivez AFP. Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles. »
Pour désactiver AFP sur votre périphérique NAS QTS ou QuTS hero, vous devrez accéder à Panneau de configuration > Réseau et services de fichiers > Win/Mac/NFS/WebDAV > Apple Networking et sélectionner Désactiver AFP (Apple Filing Protocol).
QNAP travaille également sur la résolution d’une vulnérabilité Linux appelée « Dirty Pipe » activement exploitée dans des attaques permettant d’obtenir des privilèges root et un bug OpenSSL de grande gravité pouvant entraîner des états de déni de service (DoS) et des plantages à distance.
Alors que la faille Dirty Pipe reste à corriger pour les appareils NAS exécutant QuTScloud c5.0.x, QNAP n’a publié que des mises à jour de sécurité QTS pour la faille OpenSSL DoS qu’il a averti les clients il y a environ un mois.
Il y a une semaine, les clients ont également été invités à atténuer une paire de bugs critiques du serveur HTTP Apache ajoutés à la file d’attente des vulnérabilités qui doivent être corrigées pour les appareils exécutant QTS, QuTS hero et QuTScloud.