Qnap lance un correctif pour Hybrid Backup Sync 3, dont l’outil est vulnérable à des bogues dans Rsync que HBS utilise également.
Qnap lance un correctif qui devrait combler les failles ouvertes par Rsync. Rsync est vulnérable à plusieurs bogues :
- CVE-2024-12084: débordement de mémoire tampon du tas qu’un attaquant peut exploiter ;
- CVE-2024-12086: un bogue permettant à un attaquant d’accéder à des fichiers ;
- CVE-2024-12087: un bogue de traversée de chemin permettant à un attaquant d’écrire des fichiers malveillants à des emplacements arbitraires ;
- CVE-2024-12088: un autre bogue de traversée de chemin basé sur la façon dont les liens symboliques sont gérés ;
- CVE-2024-12747: Un bogue dans la gestion des liens symboliques, où le comportement par défaut de Rsync peut être contourné, permettant à un attaquant de toucher des informations sensibles.
Hybrid Backup Sync 3 utilise Rsync et est donc vulnérable. Qnap lance donc une mise à jour urgente pour HBS 3. La mise à jour peut être effectuée facilement à partir du tableau de bord QTS ou QuTS. De là, les utilisateurs doivent se rendre dans le Centre d’applications naviguer, rechercher HBS 3 Hybrid Backup Sync et appuyer sur le bouton Mettre à jour-et appuyer sur le bouton « Mettre à jour ».
Mise à jour rapide
Il est important de mettre en œuvre la mise à jour rapidement, car toutes les vulnérabilités réunies constituent une boîte à outils puissante pour les attaquants. Les bogues permettent aux pirates d’exécuter leur propre code et éventuellement de voler des données sur un serveur. Un accès anonyme en lecture est suffisant pour mener à bien l’attaque. Dans le pire des cas, un pirate peut prendre le contrôle d’un appareil.
Au niveau mondial, Shodan constate que plus de 750 000 serveurs utilisent Rsync, mais on ne sait pas exactement combien d’entre eux sont vulnérables. Rsync est également largement utilisé, et pas seulement par Qnap.