Synology a averti ses clients que certaines de ses appliances de stockage en réseau (NAS) sont exposées à des attaques exploitant plusieurs vulnérabilités critiques de Netatalk.
« De multiples vulnérabilités permettent aux attaquants distants d’obtenir des informations sensibles et éventuellement d’exécuter du code arbitraire via une version sensible de Synology DiskStation Manager (DSM) et Synology Router Manager (SRM) », a déclaré Synology.
Netatalk est une implémentation open source AFP (abréviation de Apple Filing Protocol) qui permet aux systèmes exécutant *NIX/*BSD d’agir en tant que serveurs de fichiers AppleShare (AFP) pour les clients macOS (c’est-à-dire d’accéder aux fichiers stockés sur les appareils Synology NAS).
L’équipe de développement de Netatalk a résolu les bugs de sécurité dans version 3.1.1publié le 22 mars, trois mois après le concours de piratage Pwn2Own 2021, où ils ont été divulgués et exploités pour la première fois.
Correctifs à venir dans les 90 jours
L’équipe EDG du groupe NCC a exploité la faille de sécurité (identifiée comme CVE-2022-23121 et noté avec un score de gravité de 9,8/10) pour obtenir l’exécution de code à distance sans authentification sur un NAS Western Digital PR4100 exécutant le micrologiciel My Cloud OS pendant le concours Pwn2Own.
Synology a mis en évidence trois autres bugs dans l’avertissement d’aujourd’hui (c’est-à-dire, CVE-2022-23125, CVE-2022-23122, CVE-2022-0194) qui ont également reçu des cotes de gravité identiques.
Ils permettent également à des attaquants non authentifiés d’exécuter du code arbitraire à distance sur des appareils non corrigés.
Même si l’équipe de développement de Netatalk a publié des correctifs de sécurité pour corriger les failles le mois dernier, Synology indique que les versions de certains des produits concernés sont toujours « en cours ».
Bien que le fabricant de NAS ne fournisse pas de calendrier estimé pour ces mises à jour entrantes, Synology a déclaré à EZpublish-france.fr l’année dernière qu’il publiait généralement des correctifs pour les logiciels concernés dans les 90 jours suivant la publication des avis.
La société a également ajouté que les vulnérabilités Netatalk ont déjà été corrigées pour les appliances exécutant DiskStation Manager (DSM) 7.1 ou version ultérieure.
| Produit | Gravité | Disponibilité de version fixe |
|---|---|---|
| DSM 7.1 | Critique | Mettez à niveau vers 7.1-42661-1 ou supérieur. |
| DSM 7.0 | Critique | En cours |
| DSM 6.2 | Critique | En cours |
| Micrologiciel VS 2.3 | Critique | En cours |
| SRM 1.2 | Critique | En cours |
QNAP travaille également sur les correctifs Netatalk
Plus tôt cette semaine, QNAP, un autre fabricant taïwanais d’appareils NAS, a exhorté ses clients à désactiver le protocole de service de fichiers AFP de leurs appareils NAS jusqu’à ce qu’il corrige les failles de sécurité critiques de Netatalk.
QNAP a déclaré que les vulnérabilités de Netatalk affectent plusieurs versions du système d’exploitation QTS et QuTS hero et QuTScloud, le système d’exploitation NAS optimisé pour le cloud de la société.
Comme Synology, QNAP a déjà publié des correctifs pour l’une des versions de système d’exploitation concernées, avec des correctifs déjà disponibles pour les appliances exécutant QTS 4.5.4.2012 build 20220419 et versions ultérieures.
« QNAP enquête en profondeur sur l’affaire. Nous publierons des mises à jour de sécurité pour toutes les versions du système d’exploitation QNAP concernées et fournirons des informations supplémentaires dès que possible », a déclaré le fabricant de NAS.
« Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles. »