Une vulnérabilité de contrôle d'accès non autorisé a été signalée qui affecte certaines anciennes versions de HBS 3 (Hybrid Backup Sync). Si elle est exploitée, un attaquant distant peut contourner les restrictions de sécurité en place et compromettre le périphérique affecté.

La vulnérabilité de contrôle d'accès inapproprié, connue sous la référence CVE-2021-28809, a été découverte par Ta-Lun Yen de TXOne IoT/ICS Security Research Labs dans HBS 3 Hybrid Backup Sync.

L'incident de sécurité est dû à un logiciel bogué qui ne bloque pas correctement l'accès des attaquants aux ressources du système, ce qui leur permet d’élever leurs privilèges, d'exécuter des commandes à distance ou de lire des informations sensibles sans autorisation.

Le fabricant taïwanais de NAS (stockage en réseau) QNAP a corrigé La vulnérabilité de sécurité critique. Il affirme également que la faille de sécurité est déjà corrigée dans les versions suivantes de HBS et conseille aux clients de mettre à jour l'application à la dernière version publiée :

QTS 4.3.6 : HBS 3 v3.0.210507 et ultérieures

QTS 4.3.4 : HBS 3 v3.0.210506 et versions ultérieures

QTS 4.3.3 : HBS 3 v3.0.210506 et ultérieures

Cependant, alors que QNAP a publié l'avis de sécurité annonçant que la vulnérabilité est corrigée aujourd'hui le 06/07/2021, les notes de mise à jour de l'application ne répertorient aucune mise à jour de sécurité depuis le 14 mai 2021.

Selon la société, les périphériques NAS de QNAP exécutant QTS 4.5.x avec HBS 3 v16.x ne sont pas affectés par cette vulnérabilité de sécurité et ne sont pas exposés aux attaques. Rappelons que QNAP a été victime d'une attaque de ransomware récemment qui a été traitée par la suite.

Les clients qui souhaitent protéger leurs périphériques NAS sont invités à suivre les bonnes pratiques listés par QNAP pour renforcer la sécurité de leurs équipements.