Connexion
Abonnez-vous

Pwn2Own 2024 : QNAP et Synology corrigent des failles critiques dans leur NAS

Pwnnnn

Pwn2Own 2024 : QNAP et Synology corrigent des failles critiques dans leur NAS

Fin octobre 2024, se déroulait le concours Pwn2Own, de la Zero Day Initiative. Les NAS de QNAP et de Synology en ont fait les frais, avec des failles critiques dans les deux cas. Comme toujours, il est très fortement recommandé de se mettre à jour.

Le 05 novembre à 11h00

RISK:STATION sur les NAS Synology

Le fabricant de NAS Synology a publié deux bulletins d’alerte. Le premier concerne l’application Synology Photos 1.6 et 1.7 pour le DSM 7.2, avec un danger critique : « Une vulnérabilité permet aux attaquants distants d’exécuter du code arbitraire », ce qui est le scénario catastrophe. Le second est du même acabit, mais pour BeeStation OS 1.0 et 1.1 et l’application BeePhotos.

Dans tous les cas, des mises à jour sont disponibles. Synology précise que les failles ont été identifiées dans le cadre du concours Pwn2Own Ireland 2024. Synology remercie d’ailleurs Rick de Jager, chercheur en cybersécurité chez Midnight Blue, qui revendique la troisième place du concours.

Cette dernière a publié un billet de blog. L’entreprise y explique avoir démontré « cinq vulnérabilités zero-day dans les routeurs, les imprimantes, les caméras de sécurité et les périphériques de stockage réseau (NAS) ». Celle de Synology est baptisée RISK:STATION, avec un logo qui va bien… comme c’est la mode depuis quelques années.

Pour les détails, rendez-vous en 2025

Synology a été rapide à corriger le tir, selon Midnight Blue : « Le problème a été signalé à Synology immédiatement après la démonstration, et dans les 48 heures, un correctif a été mis à disposition pour résoudre la vulnérabilité ».

« Les détails techniques sont actuellement sous embargo jusqu’à ce qu’un délai suffisant se soit écoulé pour permettre l’application de correctifs afin de minimiser les risques d’abus généralisés ». Ils devraient être mis en ligne courant 2025.

QNAP corrige trois failles critiques

Dans le même temps, QNAP aussi réagit suite à des annonces faites durant le Pwn2Own Ireland 2024. Deux concernent ses produits : une vulnérabilité dans HBS 3 Hybrid Backup Sync et une autre dans le service SMB. Les deux sont critiques.

Dans le premier cas, HBS 3 Hybrid Backup Sync 25.1.x est touché, mais la version 25.1.1.673 corrige le tir. QNAP remercie Viettel Cyber Security pour le signalement de la faille. Pour SMB Service, les versions 4.15.x et h4.15.x sont concernées, avec des correctifs estampillés 4.15.002 et h4.15.002. Cette fois-ci, les remerciements vont à YingMuo et DEVCORE Internship Program.

QuRouteur enfin est aussi concerné, avec là encore une faille critique sur les versions 2.4.x. Elle est corrigée à partir de la mouture 2.4.5.032. C’est de nouveau Viettel Cyber Security qui est à l’honneur. QNAP ne donne aucun détail supplémentaire.

Viettel Cyber Security en profite pour savourer sa victoire dans un billet de blog, expliquant avoir remporté « le prix Pwn2Own 2024 en exploitant avec succès neuf vulnérabilités zero-day (vulnérabilités de sécurité jusqu’alors inconnues) dans des produits de HP, Canon, Synology, QNAP et d’autres, remportant un total de 33 points et un prix de plus de 200 000 dollars américains ».

Plus de 70 failles 0-day en quatre jours

Les comptes rendus des quatre jours du concours de piratage sont disponible par ici. Le premier jour, 52 failles 0-day ont été dévoilées, pour un total de plus de 70 vulnérabilités 0-day à la fin du concours. Plus d’un million de dollars a été distribué.

Le prochain rendez-vous est fixé du 22 au 24 janvier à Tokyo pour la deuxième édition du Pwn2Own Automotive.

Commentaires (15)

votre avatar
C'est pour ça que j'ai préféré garder le syno en tant que NAS pur (montage NFS) et derrière les services sont exposés par un serveur qui, lui, est plus rapide et facile à mettre à jour et avec des applications que j'ai choisies (containerisées, accessoirement).

Et au passage avec un WAF en face.

Multiplier les applications sur le NAS augmente de facto la surface d'attaque, raison pour laquelle je n'ai pas confiance dans les applis en builtin.
votre avatar
Pour Synology, aucune mise à jour ne m'était proposée pour l'application "Synology Photo". Comme je ne l'utilise pas, j'ai fais simple : je l'ai supprimée !

Pour info : DSPlay418, DSM 7.1.1-42962 Update 6
votre avatar
Il parle de DSM 7.2 dans l'article, c'est peut-être pour ça.
Moi je vérifierai sur le mien (aussi bloqué sur la même version que toi) quand ma connexion sera revenue.
votre avatar
Il y a bien, à priori, un lien entre "photo" et le DSM 7.2.
Je n'ai pas eu la maj de "photo" proposée en 7.1, et juste après la maj en 7.2 j'ai bien eu "photo" de mis à jour en automatique.
votre avatar
Mon D1621+ a mis du temps à recevoir la dernière upgrade. Apparemment elle est rollout progressif.
votre avatar
Marrant que ça soit une équipe vietnamienne qui soit arrivée première. C'est par forcément un pays auquel on pense en premier en matière de cybersécurité.
votre avatar
Les bugs bounty sont indexés sur les revenus des pays développés. Dans les pays où le coût de la vie n'est pas du tout le même, il est extrêmement intéressant pour des "informaticiens" de s'orienter dans ce domaine. Avec une vulnérabilité, tu es le roi du pétrole.

Je ne retrouve plus l'article qui explique que dans certains pays il y a tellement de personnes qui cherchent des vulnérabilités qu'il n'y en a pas assez pour corriger ces vulnérabilités.
votre avatar
Au hasard, un pays d'Amérique du sud (nan, c'est pas au hasard j'avais lu deux articles là-dessus à l'époque).
votre avatar
J'ai retrouvé ma source. Il s'agit de la keynote du SSTIC 2019 d'Alex Ionescu :
https://www.sstic.org/2019/presentation/keynote_2019/
(Notamment vers la minute 13)
votre avatar
Les deux fabricants Synology et QNAP sont sérieux et prennent manifestement bien en compte les remontées d'alerte. Très bon point.
votre avatar
Rassurez-moi, ils n'ont pas découvert 70 vulnérabilités en 4 jours, ils sont arrivés en les connaissant déja et ont pu les utiliser pour le concours?
votre avatar
Je me pose la même question effectivement !
votre avatar
Et pendant ce temps la, sur next.ink on est même pas capable de corriger un bug de redirection intempestive.....
votre avatar
Our final attempt of Pwn2Own Ireland is confirmed! PHP Hooligans / Midnight Blue (@midnightbluelab) used an integer overflow to exploit the Lexmark printer and play us a tune.
Celle-là elle est pas mal
votre avatar
bwarf mon syno n'arrive meme plus a repondre depuis la mise a jour vers vers la 7.0, ca me fait une belle brique.
faut que je regarde si ca s'est ameliore d'ailleurs.

Pwn2Own 2024 : QNAP et Synology corrigent des failles critiques dans leur NAS

  • RISK:STATION sur les NAS Synology

  • Pour les détails, rendez-vous en 2025

  • QNAP corrige trois failles critiques

  • Plus de 70 failles 0-day en quatre jours

Fermer