Après QTS, c’est au tour de QuTS hero d’avoir le droit à sa mise à jour… en Beta pour le moment. Cette nouvelle version améliore grandement les fonctionnalités proposées aux NAS, sans pour autant tout révolutionner. Il faudra être patient, encore un peu, pour voir arriver la version 6. QNAP QuTS hero h5.2 Dans un monde (du stockage) en constante évolution, QNAP continue de mettre à jour régulièrement ses NAS. QuTS hero est une sorte de QTS avec un système de fichier ZFS. Ce serait très réducteur de s’arrêter là, car de nombreuses fonctionnalités découlent de ce choix. QNAP a […]
Lire la suite : QNAP QuTS hero h5.2 est disponible en Beta

Le fabricant de NAS vient de mettre en ligne la version Beta de son logiciel interne QTS 5.2. Loin d’être une révolution, il faudra attendre QTS 6, cette nouvelle version reste cependant très intéressante. Regardons de plus près son contenu… QNAP QTS 5.2 Beta Un peu plus d’un an après la Beta de QTS 5.1, QNAP nous revient avec une nouvelle version QTS 5.2 Beta. Cette nouvelle version du logicielle interne devrait arriver pour tous en juillet, si tout va bien. Selon QNAP : « QTS 5.2.0 apporte de nombreuses nouvelles fonctionnalités importantes pour renforcer la sécurité, améliorer les performances et […]
Lire la suite : QNAP QTS 5.2 est disponible en Beta​

Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.

En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.

Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :

• CVE-2024-27124 :

Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.

• CVE-2024-32764 :

Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.

"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.

• CVE-2024-32766 :

Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.

En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :

• CVE-2023-51364, CVE-2023-51365 :

Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.x et QTS 4.5.x
• QuTS hero h5.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x
• myQNAPcloud Link 2.4.x

Comment se protéger ?

Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.4.2596 build 20231128 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur
• myQNAPcloud Link 2.4.51 et supérieur

En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.

À vos mises à jour !

The post Ces failles de sécurité peuvent permettre la compromission de votre NAS QNAP ! first appeared on IT-Connect.

Vous avez certainement entendu parler de la vulnérabilité découverte dans XZ Utils. Naturellement, vous vous questionnez : est-ce que mon NAS est concerné ? Synology et QNAP ont répondu et leurs NAS… XZ Utils et NAS Pendant que certains cherchaient les œufs en chocolat, d’autres apprenaient avec effroi l’existence d’une vulnérabilité (backdoor)dans XZ Utils. XZ Utils, c’est un ensemble de logiciels gratuits permettant de compresser des fichiers sans perdre de qualité, accessible en ligne de commandes. On y retrouve des programmes comme lzma et xz. XZ Utils est utilisé par de nombreux systèmes : Linux, FreeBSD et même Windows. Ce […]
Lire la suite : NAS et vulnérabilité dans XZ Utils

L’édition 2024 de l’IT Partners restera gravée dans les mémoires, c’est indéniable. Les exposants étaient nombreux, de qualité et les visiteurs étaient au rendez-vous. Le salon a dépassé toutes les attentes avec une affluence record. Dès 9h, les visiteurs s’agglutinaient devant l’entrée… Habituellement, ils arrivaient vers 11h. Ce salon est l’occasion de croiser de nombreux acteurs, ainsi que des lecteurs. IT Partners à Disneyland Paris… c’est fini Les organisateurs avaient prévenu : c’est la dernière année où l’IT Partners se tient à Disneyland Paris. L’espace disponible n’est plus adapté au regard du nombre d’exposants, ni au nombre de visiteurs. La […]
Lire la suite : Bilan IT Partners 2024

QNAP vient d’annoncer l’arrivée d’un nouveau boitier réseau 2 baies : TS-216G. Si ce modèle vous rappelle curieusement le TS-433, ce n’est pas qu’une simple impression… Ils partagent de nombreuses similitudes, mais le TS-216G dispose de 2 emplacements pour les disques. Mais alors, pourquoi ne pas l’avoir simplement nommé TS-233 ? On vous explique pourquoi… QNAP TS-216G Le QNAP TS-216G est un NAS 2 baies revêtu d’un plastique blanc avec le coté gauche (en façade) gris. S’il ressemble au TS-433, vous remarquerez rapidement que la ressemblance ne s’arrête pas là. En ce qui concerne ses dimensions, ce nouveau boitier affiche […]
Lire la suite : QNAP lance un nouveau NAS : TS-216G

Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.

QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.

Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.

Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.

Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.1.x et QTS 4.5.x
• QuTS hero h5.1.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x

Comment se protéger ?

Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.3.2578 build 20231110 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur

Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.

Source

The post Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques ! first appeared on IT-Connect.

QNAP vient d’émettre plusieurs alertes concernant ses systèmes QTS, QuTS hero ou QuTScloud. Le fabricant annonce que plusieurs failles de sécurité sévères ont été détectées et qu’il faut rester vigilant. Heureusement, il existe une solution : mettre à jour son NAS ! Vulnérabilités NAS QNAP Plusieurs vulnérabilités ont été signalées dans certaines versions du système d’exploitation QNAP et de ses applications. Voici les détails : CVE-2024-21899 : Cette vulnérabilité concerne une authentification incorrecte. Si elle est exploitée, elle pourrait permettre à des utilisateurs malveillants de compromettre la sécurité du système via le réseau. CVE-2024-21900 : Cette faille est liée à une injection de commandes. […]
Lire la suite : Plusieurs vulnérabilités dans les NAS QNAP

Cette année encore, QNAP sera présent à l’IT Partners (stand K44). Toutefois, cette année est un peu particulière, le fabricant de NAS célèbre son 20e anniversaire. Ce salon sera une occasion unique pour rencontrer l’équipe et partager un verre. Mais ce n’est pas tout, QNAP a préparé plusieurs surprises… QNAP fête son anniversaire à l’IT Partners On n’a pas tous les jours 20 ans ! QNAP a préparé plusieurs surprises pour les 13 et 14 mars prochains. Si vous êtes de passage à l’IT Partners cette année, nous vous recommandons vivement de visiter sur le stand du fabricant. Vous ne […]
Lire la suite : QNAP vous donne rendez-vous à l’IT Partners (stand K44)

Comme chaque année, l’IT Partners prend ses quartiers à Disneyland Paris. Pour cette 18e édition, les dates retenues sont les 13 et 14 mars. Cet événement constitue une opportunité de réunir sur un même site plusieurs fabricants renommés tels que Synology, QNAP, Seagate, Western Digital, TP-Link, ainsi que divers acteurs du secteur. Pour nous, c’est une occasion unique pour s’entretenir avec eux… mais aussi de croiser quelques lecteurs. L’équipe de l’IT Partners a récemment annoncé que pour cette nouvelle édition, il y aurait 20 % de nouveaux exposants. C’est plutôt une bonne nouvelle afin d’enrichir la diversité et l’attrait du […]
Lire la suite : IT Partners 2024

Récemment, tous les constructeurs ont émis des alertes concernant d’éventuelles failles de sécurité. Bien qu’ils ne précisent pas si ces dernières ont été exploitées, il est fortement recommandé d’appliquer les mises à jour correspondantes : applications et systèmes embarqués. NAS à jour = protection optimale Cet article concerne tous les utilisateurs, mais les plus aguerris connaissent la chanson. Il est important de rappeler quelques règles. Au-delà de la sauvegarde des données du NAS, il est également très important de le maintenir à jour. Régulièrement, les principaux fabricants de NAS proposent des mises à jour pour leur système embarqué (système d’exploitation […]
Lire la suite : Synology, Qnap, Asustor… faites les mises à jour de votre NAS

QNAP a récemment communiqué sur le lancement d’un nouveau NAS : le TS-h3077AFU. Sous ce nom se cache un NAS rackable avec 30 baies au format 2,5 pouces, conçu pour accueillir des SSD. Le TS-h3077AFU est disponible avec 2 processeurs AMD Ryzen différents. Il est équipé de plusieurs ports réseau, dont 2 en 10 Gb/s et de nombreuses autres options. Ce nouveau NAS offrirait des performances exceptionnelles et une fiabilité sans compromis ! QNAP TS-h3077AFU Le TS-h3077AFU est un NAS au format 2U dont les dimensions sont les suivantes : 88,3 × 482 × 549,7 mm (H x L x […]
Lire la suite : QNAP TS-h3077AFU, la nouvelle référence Full-Flash ?