Sign in Subscribe
By Jean-Marc BIAUDIS in QNAP

Vulnérabilités critiques dans les produits QNAP : entraînement de code à distance et plus encore

Le CERT-FR a publié un avis de sécurité le 1er septembre 2025 concernant plusieurs failles critiques identifiées dans la gamme de produits QNAP. Ces vulnérabilités touchent des systèmes largement déployés dans les PME et les foyers pour le stockage en réseau (NAS), la sauvegarde ou la virtualisation.

Quelles sont les menaces ?

Les trois vecteurs d'attaque principaux sont :

  1. Exécution de code arbitraire à distance : un attaquant peut prendre le contrôle complet du système sans authentification préalable.
  2. Déni de service (DoS) distant : une requête spécialement conçue peut saturer le service et le rendre indisponible.
  3. Injection SQL (SQLi) : exploitation de bases de données internes pour exfiltrer des informations sensibles ou modifier des réglages.

Pourquoi est-ce urgent ?

QNAP est une cible de choix des ransomwares (DeadBolt, Checkmate, Qlocker) ; une faille non corrigée peut donc mener à un chiffrement massif des données ou à une compromission persistante du réseau local. Les appareils concernés étant souvent exposés sur Internet pour des services Cloud, l'impact potentiel est global.

Que faire maintenant ?

  • Mettez à jour immédiatement le firmware via « Panneau de configuration > Système > Mise à jour du firmware ».
  • Restreignez l'accès WAN : désactivez les ports non utilisés (8080, 443, 8081) et activez la géo-blocking.
  • Activez l'authentification forte (2FA) et surveillez les journaux de connexion.
  • Effectuez une sauvegarde hors ligne de vos volumes avant l'application du patch.

Le fournisseur QNAP a déjà publié des correctifs ; il est donc essentiel de vérifier la version installée et d'appliquer la dernière mise à jour disponible sur le site officiel.

{"recommandation":"Ne tardez pas : un appareil non patché peut être compromis en moins de 24 heures une fois l'adresse IP scannée.","source":"CERTFR-2025-AVI-0747, publié le 01/09/2025"}

Avez-vous déjà vérifié la version de votre NAS ? Partagez votre méthode de maintien en sécurité dans les commentaires ou posez vos questions, la communauté vous répondra.

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe