QNAP a publié plusieurs avis de sécurité aujourd’hui, l’un d’eux pour un problème de sécurité critique qui permet l’exécution à distance de commandes arbitraires sur des systèmes QVR vulnérables, la solution de vidéosurveillance de l’entreprise hébergée sur un périphérique NAS.
Le système de vidéosurveillance IP QVR prend en charge plusieurs canaux d’alimentation et le décodage vidéo multiplateforme et il est conçu pour surveiller les environnements domestiques et professionnels.
La vulnérabilité est suivie comme CVE-2022-27588 et a un score de gravité critique de 9,8. Cela a un impact sur les versions QVR antérieures à 5.1.6 build 20220401.
QNAP consultatif explique que « la vulnérabilité a été signalée comme affectant les NVR QNAP VS Series exécutant QVR. Si elle est exploitée, cette vulnérabilité permet aux attaquants distants d’exécuter des commandes arbitraires ».
Ce type de faille de sécurité permet à un acteur malveillant d’exécuter des commandes sur la cible pour modifier les paramètres, accéder à des informations sensibles ou prendre le contrôle de l’appareil. Selon le contexte, il pourrait également être utilisé pour approfondir le réseau.
Comme nous l’avons vu par le passé, les vulnérabilités critiques des systèmes QNAP sont exploitées presque immédiatement dans les cyberattaques lorsqu’un exploit devient accessible au public.
EZpublish-france.fr a contacté QNAP pour demander des informations sur l’exploitation active de CVE-2022-27588 et nous mettrons à jour l’article avec la réponse de l’entreprise.
Plusieurs correctifs QNAP
Outre le problème critique de QVR, QNAP a également résolu huit vulnérabilités dans d’autres produits, avec des cotes de gravité comprises entre moyenne et élevée.
Voici la liste complète des correctifs :
- CVE-2022-27588: RCE de gravité critique dans QNAP QVR
- CVE-2021-38693: Vulnérabilité de traversée de chemin de gravité moyenne dans thttpd, affectant QTS, QuTS hero et QuTScloud.
- CVE-2021-44055: Faille de sévérité moyenne permettant l’accès à distance aux données dans certaines versions de Video Station.
- CVE-2021-44056: Faille de sévérité moyenne permettant l’accès à distance aux données dans certaines versions de Video Station.
- CVE-2021-44057: Vulnérabilité de haute gravité dans le NAS QNAP exécutant Photo Station.
- CVE-2021-44051: Faille d’injection de commande de haute gravité qui permet l’exécution arbitraire de commandes à distance dans QTS, QuTS hero et QuTScloud.
- CVE-2021-44052: Faille de résolution de lien de haute gravité qui permet des actions de fichiers malveillantes dans QTS, QuTS hero et QuTScloud.
- CVE-2021-44053: Faille de script intersite (XSS) de haute gravité qui permet l’injection de code à distance dans QTS, QuTS hero et QuTScloud.
- CVE-2021-44054: Vulnérabilité de redirection ouverte de haute gravité qui permet la redirection de l’utilisateur vers une page contenant des logiciels malveillants dans QTS, QuTS hero et QuTScloud.
Pour plus d’informations sur les versions impactées et celles qui intègrent les mises à jour de sécurité, cliquez sur les numéros CVE correspondants ci-dessus.
À l’heure actuelle, QNAP n’a pas fourni de conseils d’atténuation, l’action recommandée consiste donc à mettre à jour votre logiciel vers la dernière version disponible.