Le constructeur taïwanais QNAP vient de publier une salve de correctifs de sécurité destinée à patcher 7 failles zero-day sur ses NAS ! Il s’agit de vulnérabilités découvertes et exploitées lors de la compétition de hacking Pwn2Own Ireland 2025.
QNAP : 7 vulnérabilités zero-day corrigées
Ces failles de sécurité affectent les systèmes d’exploitation pour NAS QNAP, à savoir QTS et QuTS hero et plusieurs applications phares qu’il est possible d’installer sur les NAS de la marque. Les 7 vulnérabilités exploitées publiquement lors du concours Pwn2Own Ireland 2025 sont les suivantes :
Lors de cette compétition de hacking qui s’est déroulée en octobre 2025, ces vulnérabilités ont été exploitées en direct par plusieurs équipes : Summoning Team, DEVCORE, Team DDOS et un stagiaire de CyCraft Technology. Ces chercheurs ont ainsi permis à QNAP d’identifier plusieurs vecteurs d’attaque affectant ces NAS et l’écosystème applicatif. D’ailleurs, l’ensemble des vulnérabilités découvertes sont considérées comme critiques.
Comment se protéger ?
Si vous avez un NAS QNAP, vous devez installer la dernière mise à jour de sécurité pour QTS ou QuTS Hero, à savoir :
Versions affectéesVersions patchéesQTS 5.2.xQTS 5.2.7.3297 build 20251024 et supérieurQuTS hero h5.2.xQuTS hero h5.2.7.3297 build 20251024 et supérieurQuTS hero h5.3.xQuTS hero h5.3.1.3292 build 20251024 et supérieur
“Pour sécuriser votre appareil, nous vous recommandons de mettre régulièrement à jour votre système vers la dernière version afin de bénéficier des correctifs de vulnérabilité. Vous pouvez vérifier l’état du support produit pour connaître les dernières mises à jour disponibles pour votre modèle de NAS.”, rappelle QNAP.
En complément, vous devez mettre à jour les applications par l’intermédiaire de l’App Center. Dans le cas présent, voici les versions à installer pour être protégé :
Hyper Data Protector 2.2.4.1 et ultérieur
Malware Remover 6.6.8.20251023 et ultérieur
HBS 3 Hybrid Backup Sync 26.2.0.938 et ultérieur
Les NAS étant susceptibles d’être exposés sur Internet, ils représentent une cible potentielle pour les cybercriminels. Il est essentiel d’appliquer les correctifs et de bien configurer le système (pare-feu, anti-brute force, MFA, etc.). Enfin, sachez que ce n’est pas la première fois que le matos QNAP est mis à l’épreuve lors de la compétition Pwn2Own. En 2024, lors de l’édition précédente, deux autres failles critiques avaient déjà été découvertes : Hybrid Backup Sync (CVE-2024-50388) et SMB Service (CVE-2024-50387).
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.