QNAP Systems, basé à Taïwan, a corrigé une vulnérabilité d'exécution de code à distance (RCE) affectant une application utilisée par de nombreux périphériques de stockage en réseau (NAS). Selon un avis publié par la société, il a corrigé une vulnérabilité de débordement de tampon basée sur la pile dans l'application Surveillance Station. "Si elle est exploitée, cette vulnérabilité permet aux attaquants d'exécuter du code arbitraire", a déclaré QNAP, demandant aux utilisateurs de leurs appareils NAS de mettre à jour Surveillance Station vers la dernière version dès que possible.
Vulnérabilités logicielles
Surveillance Station est le système de gestion de vidéosurveillance en réseau (VMS) de QNAP qui permet aux utilisateurs de gérer et de surveiller plusieurs caméras IP. L'exploitation de la vulnérabilité RCE permettrait également aux auteurs de contrecarrer tout logiciel de sécurité ou scanner anti-malware exécuté sur le périphérique NAS compromis. En plus de la vulnérabilité critique RCE, QNAP aurait également corrigé une vulnérabilité de script intersite (XSS) de gravité moyenne qui affectait une autre de ses applications les plus utilisées. Selon QNAP, si elle était exploitée, la vulnérabilité XSS de l'application Photo Station, qui est utilisée pour télécharger et afficher des images sur le périphérique NAS, permettait à des attaquants distants d'injecter du code malveillant. QNAP a publié des mises à jour pour les applications Surveillance Station et Photo Station afin de corriger leurs vulnérabilités respectives. Les appareils NAS sont souvent la cible d'acteurs malveillants car ils constituent souvent un trésor de documents et de fichiers sensibles. QNAP a été la cible de plusieurs campagnes malveillantes ciblant ses appareils, avertissant récemment les utilisateurs du logiciel malveillant de minage de crypto Dovecat qu'il ciblait spécifiquement les appareils QNAP connectés à Internet avec des mots de passe faibles à utiliser pour le minage de crypto-monnaie. Via : BleepingComputer