Qnap signale une autre vulnérabilité dans ses périphériques NAS. Les pirates peuvent exploiter le bogue « dirty pipe » précédemment découvert dans Linux pour obtenir plus de droits pour eux-mêmes.
Les périphériques NAS de Qnap sont vulnérables à Dirty pipe. C’est le nom d’une vulnérabilité dans le noyau Linux. Dirty pipe permet aux attaquants ayant un accès local limité d’élever leurs privilèges jusqu’au niveau root. Presque tous les logiciels qui reposent sur le noyau Linux 5.8 ou plus sont vulnérables. Qnap lui-même indique maintenant que QTS 5.0.x et QuTS hero h5.0.x sont affectés. Dans le cas de Qnap, un attaquant peut assumer des privilèges d’administrateur et exécuter un code malveillant.
Nombreux appareils vulnérables
La vulnérabilité affecte tous les dispositifs x86-NAS et certains dispositifs à processeur ARM lorsqu’ils exécutent la version ci-dessus de leur système d’exploitation. Ceux qui utilisent une version plus ancienne de QTS ne sont pas touchés par le bogue, bien que cela pose d’autres problèmes. Depuis plusieurs mois, les NAS Qnap sont la cible de pirates informatiques qui veulent crypter les données sur les serveurs avec un ransomware.
Qnap enquête sur cette vulnérabilité. Pour l’instant, aucun correctif ou mesure d’atténuation n’est disponible. Il est à noter que Qnap n’a publié un avis de sécurité qu’aujourd’hui, alors que Dirty Pipe est connu depuis près d’une semaine. Qnap considère que la gravité du bogue est « élevée ». Malheureusement, le seul moyen de se protéger est de s’assurer qu’une personne mal intentionnée ne puisse pas accéder au NAS, même si les autorisations sont faibles.