EduBourseActualitésFailles dans un firmware NAS : les utilisateurs exposés à des risques...

Failles dans un firmware NAS : les utilisateurs exposés à des risques considérables

Dernière mise à jour: octobre 21, 2021

En passant au crible un NAS, des chercheurs de F-Secure ont détecté plusieurs vulnérabilités permettant aux pirates de voler des données et des mots de passe, ou encore d’exécuter des commandes à distance.

Rueil Malmaison, le 18 janvier 2017 – En analysant un NAS (Network Attached Storage, Serveur de stockage en réseau) fabriqué par QNAP, les chercheurs F-Secure ont mis à jour trois vulnérabilités, pouvant être exploitées par des pirates pour prendre le contrôle de ces appareils. De tels résultats pourraient se retrouver au sein de millions d’appareils et témoignent d’une tendance générale à la fabrication de produits trop peu sécurisés, exposant leurs utilisateurs aux cyber menaces.

Les chercheurs ont révélé trois vulnérabilités lors de l’examen du NAS QNAP TVS-663. Les pirates peuvent les exploiter pour détourner le processus de mise à jour du firmware, afin de disposer de droits administrateurs. Ils sont alors à même d’installer des malware, d’avoir accès aux données, de disposer des mots de passe stockés et d’exécuter des commandes à distance.

Harry Sintonen, Senior Security Consultant chez F-Secure, a développé un exploit permettant de confirmer que ces failles pouvaient être exploitées par des pirates. « Ces vulnérabilités ne sont pas nécessairement dangereuses en soi. Mais les pirates peuvent, en les utilisant toutes à la fois, causer des dégâts considérables », affirme-t-il. « Les plus doués savent que même les plus petites vulnérabilités peuvent constituer pour eux de vraies mines d’or, lorsqu’ils déploient le savoir-faire adéquat. »

Tout débute lorsque l’appareil envoie une requête de mise à jour à l’entreprise. L’absence de chiffrement permet à des pirates potentiels d’intercepter et de modifier la réponse à cette requête. Harry Sintonen a tiré profit de cette faille avec un exploit déguisé en mise à jour de firmware. Cette fausse mise à jour a trompé l’appareil, qui a immédiatement tenté d’installer la mise à jour. Aucune mise à jour n’est installée mais l’exploit est alors à même de compromettre le système.

Pour Harry Sintonen, le vol et l’altération de données est, dans un tel cadre, tout à fait accessible aux pirates expérimentés. « Tout ce qu’ils ont à faire, c’est informer l’appareil qu’une nouvelle version du firmware est disponible. Et dans la mesure où cette requête de mise à jour se fait sans chiffrement, cela n’est pas très difficile. Ensuite, le hacker peut faire ce qui lui chante, c’est un jeu d’enfant. »

Harry Sintonen a limité ses recherches au QNAP TVS-663 mais il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes. Il estime ainsi à 1,4 million le nombre d’appareils vulnérables, et affirme que ce chiffre pourrait être bien plus important.

« D’après nos recherches, 1,4 millions d’appareils seraient concernés. Mais dans la mesure où de nombreux utilisateurs ne mettent jamais à jour leur firmware, ce chiffre pourrait être encore bien plus important. Il peut s’élever à plusieurs millions. »

Recommandations aux utilisateurs affectés

F-Secure a informé QNAP de ces problèmes en février 2016 mais à ce jour, les chercheurs F-Secure n’ont pas eu connaissance de l’existence d’un patch destiné à corriger ces vulnérabilités. Sans un correctif publié par QNAP, il n’existe aucune manière de sécuriser les appareils infectés de manière durable.

Janne Kauhanen, Cyber Security Expert chez F-Secure, relativise malgré tout l’impact de ces vulnérabilités : « Des problèmes comme celui-ci sont devenus relativement communs pour les objets connectés. Nous achetons tous en permanence des produits qui ne sont pas correctement sécurisés. Dans le cas présent, les pirates doivent, avant toute chose, se glisser entre le serveur de mises à jour et l’utilisateur…et cette étape peut être assez technique, et ainsi dissuader les pirates les moins tenaces », explique-t-il. « Mais nous avons déjà vu des pirates utiliser des failles similaires dans le cadre d’une phase de reconnaissance pour une campagne de phishing, ou pour dissimuler leur présence sur un réseau. »

En attendant un correctif, les utilisateurs disposent de certains moyens de protection temporaires. Les utilisateurs du QNAP TVS-663 et d’autres appareils utilisant le même firmware (QTS firmware 4.2 ou supérieur) peuvent désactiver la mise à jour automatique et rechercher par ailleurs une version plus sécurisée. Janne Kauhanen recommande à tous ceux qui utiliseraient cet appareil dans le cadre de leur activité professionnelle ou pour des tâches impliquant la manipulation de données sensibles de rapidement mettre en place ces mesures afin d’être protégés.

QNAP et les autorités compétentes ont été prévenus de l’existence de ces vulnérabilités avant la publication de ce communiqué.

Informations complémentaires :
L’Internet des Objets a besoin de la recherche de vulnérabilités pour survivre

A propos de F-Secure

F-Secure, expert en sécurité informatique, défend depuis plusieurs décennies entreprises et particuliers contre toutes les attaques du web, qu’il s’agisse de ransomware ou de cyber attaques évoluées. Ses services et solutions primées utilisent les innovations brevetées F-Secure et un système sophistiqué de renseignements sur les menaces. F-Secure protège des dizaines de milliers d’entreprises, des millions d’individus. Les experts en sécurité F-Secure ont participé à plusieurs enquêtes européennes liées à la cyber criminalité, et ce, plus qu’aucune autre entreprise présente sur le marché. Les produits F-Secure sont disponibles auprès de 200 opérateurs et des milliers de revendeurs à travers le monde.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Pierre Perrin-Monlouis
Pierre Perrin-Monlouis
Fondateur de Rente et Patrimoine (cabinet de gestion de patrimoine), Pierre Perrin-Monlouis est un analyste et trader pour compte propre. Il vous fait profiter de son expérience en trading grâce à ses analyses financières et décrypte pour vous les actualités des marchés. Son approche globale des marchés combine à la fois l'analyse technique et l'analyse fondamentale sur l'ensemble des marchés : crypto, forex, actions et matières premières.
ARTICLES SIMILAIRES