QNAP a publié des avis[1-2] de sécurité le 30 août concernant deux failles nommées CVE-2021-3711 et CVE-2021-3712, impactant les produits NAS QNAP utilisant QTS, QuTS hero, QuTScloud et HBS 3 Hybrid Backup Sync (une application de sauvegarde et de reprise après sinistre).

Les deux vulnérabilités sont des failles out-of-bounds dans OpenSSL qui affectent les NAS QNAP exécutant HBS 3 (Hybrid Backup Sync). Si elles sont exploitées, ces vulnérabilités permettent à des attaquants distants d'exécuter du code arbitraire avec les permissions de l'utilisateur qui exécute l'application ainsi qu’un déni de service (DoS). Ces vulnérabilités ont été corrigés par OpenSSL le 24 août.

Quant à QNAP, ils n'ont pas donné une estimation de la date à laquelle les mises à jour de sécurité seront publiées, déclarant qu'ils étudient attentivement le problème et qu'ils publieront des mises à jour de sécurité et fourniront des informations supplémentaires le plus tôt possible.