La faille de sécurité la plus préoccupante est identifiée sous le code CVE-2024-21899. Cette vulnérabilité peut être exploitée à distance, sans authentification, et sans interaction de l'utilisateur. Si elle est exploitée, elle pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau, potentiellement en compromettant le NAS ou en accédant aux données.

Les deux autres vulnérabilités, identifiées sous les codes CVE-2024-21900 et CVE-2024-21901, sont également critiques. La première permet l'exécution de commandes à distance, tandis que la seconde est une injection SQL pouvant être exploitée à distance. Cependant, le risque d'exploitation est moins élevé car il faut être authentifié pour exploiter ces deux vulnérabilités.

Des mise à jours disponibles

Pour se protéger de ces failles de sécurité, les utilisateurs doivent mettre à jour leur système vers les versions suivantes : QTS 5.1.3.2578 build 20231110 et supérieur, QTS 4.5.4.2627 build 20231225 et supérieur, QuTS hero h5.1.3.2578 build 20231110 et supérieur, QuTS hero h4.5.4.2626 build 20231225 et supérieur, QuTScloud c5.1.5.2651 et supérieur, et myQNAPcloud 1.0.52 (2023/11/24) et supérieur.

Il est recommandé aux utilisateurs de QNAP de mettre à jour leur système dès que possible pour se protéger contre ces vulnérabilités. Bien qu'il n'y ait actuellement aucune indication que ces vulnérabilités sont exploitées par des cybercriminels, la faille de sécurité CVE-2024-21899 pourrait susciter l'intérêt des pirates dans les prochaines semaines en raison de sa facilité d'exploitation et du grand nombre de NAS exposés sur Internet.