Comme tous les systèmes d’exploitation (ordinateur, smartphone…), les NAS n’échappent pas aux updates pour corriger des failles de sécurité et résoudre des problèmes. Le célèbre fabricant QNAP vient de diffuser une note à tous les utilisateurs d’un stockage en réseau de la marque, pour indiquer qu’il faut rapidement mettre à jour le firmware des NAS QNAP pour combler une faille critique de sécurité : CVE-2022-27596.
QNAP QTS 5.0 est sorti en octobre 2021, la version 5.0.1 en septembre 2022. En février 2023, QNAP diffuse un communiqué « QNAP Security Advisory | Bulletin ID: QSA-23-01 » pour parler de vulnérabilités dans QTS et QuTS hero 5.0.1, dernière version en date. La brèche est suffisamment critique pour que QNAP envoie un mail à tous ses utilisateurs afin de les inciter à mettre à jour le firmware de leur équipement réseau.
QNAP précise que la faille en question (CVE-2022-27596) a déjà été patchée dans les firmwares suivants :
- QTS 5.0.1.2234 build 20221201 and later
- QuTS hero h5.0.1.2248 build 20221215 and later
Si votre NAS dispose déjà de cette version de QTS ou QuTS, inutile de s’inquiéter s’il n’y a pas de mise à jour disponible pour le firmware du stockage réseau.
Mise à jour firmware NAS QNAP (QTS, QuTS Hero)
1. Se connecter à l’interface d’administration du NAS QNAP avec un compte administrateur.
2. Pour éviter toute interruption de tâche, vérifier les jobs en cours et redémarrer le NAS avant l’update.
3. Rechercher les mises à jour disponibles par l’assistant d’installation (Panneau de configuration > Mise à jour du firmware), ou procéder à partir d’un fichier téléchargé sur le site officiel QNAP.
Le premier build de 2023, à savoir « 20230112 » corrige donc aussi la faille puisque ce firmware est sorti après décembre 2022. On peut donc considérer que tous les updates firmwares de 2023 combleront la faille de sécurité décrite dans le mail QNAP.
4. Redémarrer le NAS après installation du nouveau firmware.
5. Vérifier les fonctions principales du NAS, les accès réseau depuis un poste distant ou un serveur, que les tâches automatiques soient toujours présentes et programmées.
Un guide complet de mise à jour du firmware d’un NAS QNAP se trouve sur cette page.
Merci pour cet article perspicace sur la faille de sécurité dans QTS et QuTS Hero 5.0.1 de QNAP. La sécurité informatique est un aspect crucial pour toute entreprise, et il est essentiel d’être informé des vulnérabilités potentielles dans les systèmes d’exploitation que nous utilisons quotidiennement. Cette faille de sécurité met en lumière l’importance de maintenir nos systèmes à jour et de suivre les meilleures pratiques de cybersécurité univirtual. Les administrateurs de serveur virtuel en particulier, doivent être vigilants et s’assurer que toutes les mises à jour et les correctifs de sécurité sont appliqués immédiatement pour protéger leurs données et leurs infrastructures. Il est également recommandé de renforcer les mesures de sécurité en utilisant des solutions complémentaires, telles que des pare-feux avancés, des systèmes de détection d’intrusion et des stratégies de sauvegarde régulières. En combinant ces pratiques avec une gestion rigoureuse des mises à jour du système d’exploitation, nous pouvons significativement réduire les risques associés à de telles vulnérabilités. Merci encore pour cet article qui rappelle l’importance de la vigilance et de la proactivité en matière de sécurité informatique dans nos environnements de serveurs virtuels.