Le fabricant de périphériques réseau Qnap a prolongé le support technique et de patch pour certains modèles de NAS. La raison en est, selon toute vraisemblance, de nombreuses attaques récentes.
Sommaire
Mises à jour de sécurité jusqu’à l’automne 2022
Comme l’indique un article, les appareils Qnap recevront encore des mises à jour de sécurité pendant quatre ans après avoir atteint le statut de fin de vie (EOL). Ensuite, il n’y a plus de mises à jour de sécurité, même si des failles de sécurité critiques menacent les systèmes NAS. De tels appareils représentent un risque de sécurité non négligeable.
Le fabricant a annoncé qu’il continuerait à publier des correctifs de sécurité jusqu’en octobre 2022 pour les modèles de NAS (x86, 64 bits, ARM) qui prennent en charge les versions QTS 4.2.6, 4.3.3, 4.3.6 et 4.4.1 du système d’exploitation. Mais cela ne vaut que pour les vulnérabilités présentant un degré de menace « critique » ou « élevé ».
Sur un site web de support, on peut vérifier combien de temps son propre système sera encore pris en charge par Qnap.
Et après ?
Si l’on possède un modèle de NAS pour lequel il n’y a plus de mises à jour de sécurité, il ne faut en aucun cas rendre le système disponible sur Internet. Cela revient à inviter les pirates. Il est tout à fait réaliste que ces derniers s’attaquent d’abord avec succès à une faille de sécurité et pénètrent par ce biais dans votre propre réseau.
Même les appareils NAS patchés ne devraient être accessibles de l’extérieur que si cela est absolument nécessaire. Si cela est inévitable, l’accès ne doit se faire que via des connexions sécurisées, protégées par des mots de passe forts.
Dans un article, Qnap donne des conseils essentiels sur la manière d’exploiter un système NAS de manière aussi sûre que possible. Il s’agit notamment de désactiver les redirections de port automatiques (UPnP), de supprimer les comptes inconnus et de toujours installer les dernières mises à jour de sécurité.
Patch forcé
La raison de la prolongation des correctifs devrait être le nombre comparativement élevé d’attaques récentes. Le fabricant a même été jusqu’à fournir des mises à jour forcées aux appareils afin de bloquer le cheval de Troie d’extorsion Deadbold.