QNAP NAS の深刻な脆弱性 CVE-2021-28809 が FIX した

QNAP addressed a critical flaw that allows compromising NAS devices

2021/07/06 SecurityAffairs — 台湾のベンダーである QNAP は、深刻な脆弱性 CVE-2021-28809 を修正した。この脆弱性が攻撃者に悪用されると、脆弱な NAS デバイスを危険にさらす可能性がある。この脆弱性は、HBS 3 Hybrid Backup Sync の特定のレガシー・バージョンに影響するものであり、TXOne IoT/ICS Security Research Labs の Ta-Lun Yen がベンダーに報告したものだ。

QNAP のセキュリティ・アドバイザリーには、「不適切なアクセス制御の脆弱性が、HBS 3 Hybrid Backup Sync の特定レガシー・バージョンに存在する。この脆弱性が悪用されると、オペレーティング・システムのセキュリティが侵害される恐れがある」と記載されている。修正されたのは、以下の通りである。なお、QTS 4.5.x および、HBS 3 v16.x を搭載した QNAP デバイスには影響は生じない。

QTS 4.3.6: HBS 3 v3.0.210507 以降
QTS 4.3.4: HBS 3 v3.0.210506 以降
QTS 4.3.3: HBS 3 v3.0.210506 以降

この台湾ベンダーは 5月に、Qlocker ランサムウェアの感染を防ぐために、NAS デバイス上で動作する HBS 3 Disaster Recovery App を更新するよう、顧客に警告した。4月末に専門家たちは、Qlocker と名付けられた新種のランサムウェアが、毎日のように数百台の QNAP NAS デバイスに感染していると警告していた。この攻撃の背後にいる脅威アクターたちは、不適切な認証の脆弱性 CVE-2021-28799 を悪用しており、それにより NAS デバイスへのログインが可能になっていた。

QNAP のセキュリティ・アドバイザリーには、「QNAP NAS を標的としたランサムウェア・キャンペーンが、2021年4月19日の週に始まった。Qlocker というランサムウェアは、CVE-2021-28799 を悪用して、HBS 3 Hybrid Backup Sync の特定のバージョンを実行する QNAP NAS を攻撃している」と記されていた。ランサムウェア識別サービスである ID-Ransomware を開発した Michael Gillespie の調査によると、この攻撃は4月20日に初めて発見され、感染件数は1日あたり数百件に急増しているようだ。

この記事によると、5月にも QNAP は、Roon Server のゼロデイ脆弱性の悪用することで、eCh0raix ランサムウェアが、同社の NAS デバイスを標的にしたと警告していたそうです。そして7月の初めには、なやり NAS デバイスを標的にした、AgeLocker ランサムウェア攻撃が続いていることを顧客に警告しているそうです。

%d bloggers like this: