Le spécialiste NAS QNAP, dont nous avons mentionné les tribulations précédemment dans ces pages, a publié un avis de sécurité de haute gravité (s’ouvre dans un nouvel onglet) avertissement d’une faille qui peut permettre à des attaquants d’obtenir des privilèges d’exécution de code à distance sur un périphérique de stockage affecté.
L’insecte (s’ouvre dans un nouvel onglet) est en PHP et affecte les boîtiers NAS exécutant QTS 5.0.x et versions ultérieures, QTS 4.5.x et versions ultérieures, QuTS hero h5.0.x et versions ultérieures, QuTS hero h4.5.x et versions ultérieures, et QuTScloud c5.0.x et plus tard. Il a déjà été corrigé dans QTS 5.0.1.2034 build 20220515 et versions ultérieures, ainsi que QuTS hero h5.0.0.2069 build 20220614 et versions ultérieures.
Le problème semble être dans la partie de PHP qui traite de FPM et n’est pas une nouvelle vulnérabilité. Il est connu en théorie depuis trois ans, mais ce n’est que maintenant qu’il a été démontré qu’il était exploitable. FPM est un gestionnaire de processus FastCGI auquel un serveur Web transmet des demandes et qui peut générer et tuer des processus PHP selon les besoins. S’il est configuré d’une manière particulière, ce FPM peut être manipulé pour écrire des données au-delà des tampons alloués dans l’espace réservé aux données du protocole FCGI, ouvrant ainsi la possibilité d’exécution de code à distance.
Notez que cela est totalement différent de la récente expérience malheureuse de QNAP avec le rançongiciel Deadbolt (s’ouvre dans un nouvel onglet). La raison pour laquelle QNAP, parmi tous les fournisseurs de NAS, semble avoir tant de problèmes est qu’il est à la fois très populaire et adopte une approche consciencieuse pour émettre des avis de sécurité et déployer des correctifs. Étant donné que la vulnérabilité n’a pas encore été corrigée pour tous les systèmes d’exploitation QNAP, le statut « Correction » lui a été attribué.
En attendant, QNAP recommande aux utilisateurs de mettre à jour le dernier micrologiciel pour leur boîte de stockage. Cela peut être fait dans le panneau de configuration du système, en utilisant le panneau de mise à jour en direct ou en téléchargeant un fichier de mise à jour directement depuis le site Web de QNAP (s’ouvre dans un nouvel onglet).