La mise à jour du micrologiciel a verrouillé les propriétaires de NAS QNAP hors de leur boîte
Une récente mise à jour du micrologiciel de QNAP, version 5.2.2.2950 build 20241114, a causé de nombreux problèmes aux personnes possédant des appareils de stockage en réseau (NAS) QNAP. Sortie vers le 19 novembre, la mise à jour empêchait certains d'accéder à leurs fichiers.
Une mise à jour défectueuse du micrologiciel était censée résoudre certains problèmes de sécurité détectés sur les appareils QNAP. Ces appareils sont souvent confrontés à des cyberattaques et, en février 2023, une grave vulnérabilité a été découverte, permettant aux pirates informatiques d'exécuter des commandes SQL à distance et potentiellement de prendre le contrôle de l'appareil. Cette faille affectait environ 30 000 appareils. Auparavant, le groupe de ransomware DeadBolt avait également attaqué les utilisateurs de QNAP, ce qui avait incité l'entreprise à lancer des mises à jour automatiques d'urgence, même pour les utilisateurs qui avaient désactivé cette option.
Malheureusement, la mise à jour la plus récente comportait des bogues détectés lors de la connexion et du démarrage, et même avec la fonctionnalité Python manquante du système, dont certaines applications ont besoin. Bien que QNAP ait initialement déclaré que les problèmes n'affectaient que quelques modèles, comme les séries TS-x53D et TS-x51, les publications sur les forums d'utilisateurs ont montré que de nombreux autres appareils rencontraient réellement ces problèmes. QNAP recommande que ses appareils NAS soient connectés à Internet uniquement via un VPN ou d'autres méthodes sécurisées.
Après avoir reçu les commentaires des utilisateurs, QNAP a rapidement supprimé le micrologiciel défectueux et publié une version corrigée dans les 24 heures. Ils ont suggéré aux utilisateurs concernés soit de passer à une version antérieure du micrologiciel, puis de passer à la nouvelle version fixe, soit de contacter l'assistance QNAP pour obtenir de l'aide. Cependant, cela pourrait ne pas suffire, surtout si l’on considère la gravité du problème. L’enjeu est d’avoir des données accessibles, et le service qui fait que la box ne fonctionne pas est un gros problème.
Les chercheurs en sécurité de WatchTowr ont découvert quinze vulnérabilités dans les systèmes d'exploitation et les services cloud de QNAP. Ils ont signalé ces problèmes à QNAP, mais certaines vulnérabilités n’ont pas été corrigées même après la période habituelle de 90 jours. En conséquence, WatchTowr a décidé de rendre publiques ses conclusions.