QNAP, le fabricant taïwanais d’appliances de stockage en réseau (NAS), a annoncé cette semaine la disponibilité de correctifs pour quelques vulnérabilités critiques dans sa solution de gestion vidéo QVR.

Suivies comme CVE-2021-34348 et CVE-2021-34351 et présentant un score CVSS de 9,8, les vulnérabilités pourraient être exploitées à distance pour exécuter des commandes arbitraires sur les systèmes affectés.

De plus, le fabricant a corrigé CVE-2021-34349 (score CVSS de 7,2), un problème de gravité élevée qui conduit également à l’exécution de commandes arbitraires.

Bien que les trois problèmes de sécurité puissent être exploités à distance, CVE-2021-34349 nécessite que l’attaquant dispose de privilèges élevés sur le système vulnérable pour une exploitation réussie. Les failles de gravité critique ne nécessitent aucun privilège.

Les vulnérabilités, note QNAP dans son avis, n’affectent que certains appareils qui ont déjà atteint leur statut de fin de vie (EOL) et ne sont plus disponibles à la vente.

La société a corrigé ces vulnérabilités avec la sortie de QVR 5.1.5 build 20210803 et encourage les utilisateurs à mettre à jour cette version ou une version ultérieure pour s’assurer qu’ils sont protégés contre les attaques potentielles.

QNAP n’a mentionné aucune tentative d’exploitation en cours ciblant ces vulnérabilités, mais il n’est pas rare que des acteurs malveillants commencent à exploiter des failles de sécurité dans les appareils QNAP peu de temps après leur divulgation publique.

QNAP QVR est une solution de vidéosurveillance qui permet aux utilisateurs de gérer facilement plusieurs serveurs et caméras en même temps, offrant des capacités de surveillance en temps réel, d’enregistrement et de lecture vidéo et de gestion de connexion.

Connexe : QNAP exhorte les utilisateurs à sécuriser les appareils contre les attaques par force brute

En relation: Fichiers sur les appareils NAS QNAP cryptés dans les attaques de ransomware Qlocker

En relation: QNAP avertit les utilisateurs de NAS des attaques de logiciels malveillants «dovecat»

Ionut Arghire est correspondant international pour SecurityWeek.

Chroniques précédentes de Ionut Arghire :

Voir la source de cette publication