Lors du concours Pwn2Own en Irlande, les participants ont découvert sept vulnérabilités QNAP.
QNAP a corrigé sept vulnérabilités que des chercheurs ont exploitées pour pirater des appareils NAS lors du concours Pwn2Own 2025 en Irlande. Les failles affectaient les systèmes d’exploitation QTS et QuTS hero. D’autres applications, notamment Hyper Data Protector, Malware Remover et HBS 3 Hybrid Backup Sync, ont également été touchées.
Sept vulnérabilités
Les vulnérabilités (enregistrées sous CVE-2025-62847 à -62849 et CVE-2025-59389, -11837, -62840 et -62842) ont été démontrées lors du concours par différentes équipes. Elles permettaient l’exécution de code à distance et pouvaient donner aux attaquants un contrôle total sur les systèmes NAS affectés.
QNAP a publié des correctifs pour tous les produits vulnérables. L’entreprise invite les utilisateurs à mettre immédiatement à jour leur système vers :
- QTS 5.2.7.3297 ou QuTS hero h5.2.7.3297 / h5.3.1.3292
- Hyper Data Protector 2.2.4.1 ou supérieur
- Malware Remover 6.6.8.20251023 ou supérieur
- HBS 3 Hybrid Backup Sync 26.2.0.938 ou supérieur
Les mises à jour peuvent être effectuées via le Panneau de configuration > Système > Mise à jour du firmware ou via la fonction de recherche de l’App Center. QNAP recommande également de modifier tous les mots de passe et de mettre régulièrement à jour les systèmes pour prévenir les futures attaques.
Correctif de sécurité pour QuMagie
En plus des correctifs Pwn2Own, QNAP a également publié QuMagie 2.7.0 avec un correctif pour une vulnérabilité SQLi critique (CVE-2025-52425) dans le logiciel de gestion de photos. Celle-ci permettait aux attaquants d’exécuter à distance du code non autorisé.
Le fabricant souligne que la mise à jour régulière du système NAS reste la meilleure défense contre l’exploitation de ce type de vulnérabilités