QNAP Message info NAS...une centaine en quelques minutes ?

G

geoay

Padawan
30 Juillet 2023
138
14
18
Bonjour,
J'essaye de comprendre les messages d'info de mon NAS.
En 2 minutes j'ai reçu une centaine de messages comme celui-ci :

[Info][QuFirewall] Notification de votre appareil : QNAPxxx
Nom du NAS : QNAPxx
Gravité : Info
Date/heure : 2023/10/18 17:29:05

Nom de l'appli : QuFirewall
Catégorie : Profils de pare-feu
Message : [QuFirewall] Édition de la règle de pare-feu au profil du pare-feu

C'est logique et justifié ?
 
Pour continuer sur la sécurité je suis également étonné de l'envoi très fréquent de bulletins QNAP SEcurity Advisor adressant en particulier QTS.
Doit-on considérer que c'est un bon signe sur la réactivité de QNAP...ou au contraire être inquiet qu'il faille boucher des trous aussi souvent ?
Sur mon Synology je ne me souviens pas avoir reçu autant de messages de cette nature
 
geoay a dit:
Doit-on considérer que c'est un bon signe sur la réactivité de QNAP...ou au contraire être inquiet qu'il faille boucher des trous aussi souvent ?
Sur mon Synology je ne me souviens pas avoir reçu autant de messages de cette nature
Cliquez pour agrandir...
Sur synology ils ne communiquent peut-être pas autant, il faut regarder les release notes des mises à jour pour le savoir.


Dis toi que Windows c'est tout les mois ( voir plusieurs fois par mois) on ne peut pas comparer Windows à un OS propriétaire mais ca aide à relativiser.


Ensuite synology utilise a peu de choses près le même hardware dans ses NAS depuis longtemps.
La preuve avec le ds224+ ( donc de la gamme 2024 ) qui a du hardware de 2020.
Ça fait moins de faille lier au hardware à corriger donc moins de mise à jour.....

P.S : je suis chez Synology et je me soigne.
 
geoay a dit:
Doit-on considérer que c'est un bon signe sur la réactivité de QNAP...ou au contraire être inquiet qu'il faille boucher des trous aussi souvent ?
Cliquez pour agrandir...
C'est un peu compliqué en vrai. et le nombre de CVE n'est pas forcément parlant d'une entreprise a une autre.

Certaines entreprises vont faire des CVE pour le moindre bug, et d'autres au contraire seront beaucoup plus laxiste.

Si on regarde les 4 derniers CVE de QNAP :


Vulnerability in Container Station: https://www.qnap.com/en/security-advisory/qsa-23-44
"If exploited, the vulnerability could allow authenticated administrators to execute arbitrary commands via a network."

Cela dit qu'un administrateur identifié pourrait exécuter des commandes via le réseau, c'est un peu vague sur ce que cela permet de faire, mais on comprend bien, qu'il faut déja posséder un compte administrateur sur le NAS pour cela ! L'impact est donc tres limité, encore plus pour nos usages de "particulier".


Vulnerability in QTS, QuTS hero, and QuTScloud https://www.qnap.com/en/security-advisory/qsa-23-42
"If exploited, the vulnerability could allow users to read and expose sensitive data via a network."

Ici il s'agit d'exposition de données, mais par un utilisateurs identifié du NAS. Bien que le probleme soit plus "grave" que le précédent qui avait besoin carrément d'un administrateur, encore une fois, l'impact est limité.


Vulnerabilities in QTS, QuTS hero, and QuTScloud https://www.qnap.com/en/security-advisory/qsa-23-41
"allow authenticated administrators"

Ici encore, il s'agit d'attaque par déni de service, mais par un compte administrateur

Vulnerabilities in Video Station - https://www.qnap.com/en/security-advisory/qsa-23-52
"could allow authenticated users to inject malicious code"

Celle ci est un peu plus grave a mon sens, elle permet a un utilisateur de faire des injections SQL au travers de Video Station. Un compte utilisateur mal protégé pourrai a mon sens avec ce probleme, servir a un pirate a injecter un virus ou autre sur le NAS.



Comme on peut le voir ici, aucune possibilité d'attaque direct, il faut forcément un compte utilisateur ( voir administrateur dans certains cas ).

D'ou l'importance de bien sécurisé les comptes administrateurs, comme utilisateurs.et surtout de désactiver les applications qu'on utilise pas ( voir les désinstaller quand c'est possible ! )
 
Bonjour,

Quand on voit certaines applications qui sont pas à jour et qu'on peut les exploité, sa fait peur
 
Bonjour @EVOTk ,
Les paquets de type Website, qui sont pas tous à jours et permettent à terme de déployer des formulaires d'envoie qui ne filtre pas correctement le type de fichier et si tu envois un shell php, ta la console du serveur et certaines applications semblent se lancer en admin.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas