QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと

QNAP works on patches for OpenSSL bugs impacting its NAS devices

2021/08/30 BleepingComputer — 先週のこと、NAS メーカーの QNAP は、OpenSSL によるパッチが適用されたリモートコード実行 (RCE) およびサービス拒否 (DoS) の脆弱性に対処するため、セキュリティ・アップデートの調査と作業を行っている。脆弱性 CVE-2021-3711 CVE-2021-3712 は、QTS / QuTS hero / QuTScloud / HBS 3 Hybrid Backup Sync を実行する QNAP NAS デバイスに影響する。

脆弱性 CVE-2021-3711 の背後にある、SM2 暗号アルゴリズムのヒープバッファ・オーバーフローは、クラッシュにつながる可能性が高いが、任意のコード実行も可能となる。脆弱性 CVE-2021-3712 は、ASN.1 文字列を処理する際の、読み取りバッファ・オーバーランの脆弱性が原因である。この脆弱性を悪用して、脆弱なアプリケーションのクラッシュや、秘密鍵などの機密情報を含むプライベート・メモリ内容へのアクセスが可能となる。

QNAP の説明によると、この脆弱性が巧妙に悪用された場合、リモートの攻撃者は、許可なくメモリ・データへのアクセスを行い、サービス拒否 (DoS) 状態を引き起こし、HBS 3 アプリを実行しているユーザーの権限で、任意のコードを実行することが可能となる。一週間前に OpenSSL 開発チームは、この欠陥に対処するための OpenSSL 1.1.1l を公開した。しかし、8月24日の時点で QNAP は、セキュリティ・アップデートのタイミングをを提示しなかった。しかし、同社は 「本件を徹底的に調査している。可能な限り早くセキュリティ・アップデートをリリースし、さらなる情報を提供する」と述べている。

Synology ユーザーもセキュリティ・アップデートを待っている

先週のこと、台湾の NAS メーカーである Synology も、同社の NAS ラインの複数のモデル (DSM 7.0 / DSM 6.2 / DSM UC / SkyNAS / VS960HD / SRM 1.2 / VPN Plus Server / VPN Server) が、同じく2つの脆弱性のの影響を受けていると発表した。同社は、「複数の脆弱性により、影響を受けやすいバージョンの Synology DiskStation Manager (DSM)、Synology Router Manager (SRM)、VPN Plus Server、VPN Server を介して、リモートの攻撃者により、サービス拒否攻撃および、任意のコード実行が生じる恐れがある」と述べている。

QNAP と同様に Synology も、これらの欠陥に対処するためのセキュリティ・アップデートをまだリリースしておらず、”保留中 “および “進行中 “とタグ付けされている。今月の初め、Palo Alto Networks の Unit 42 は、新たに発見された eCh0raix ランサムウェアの亜種に、QNAP と Synology の NAS デバイスを暗号化する機能が追加されていると公表している。その1ヶ月前に QNAP は、HBS 3 における深刻な脆弱性を修正した。この脆弱性により攻撃者は、特権の拡大や、機密情報の窃取、リモート・コマンド実行などを行う可能性がある。

先日の「Synology SNA 問題:OpenSSL の脆弱性が一部のバージョンに影響」と、ほとんど同じ状況ですね。OpenSSL の脆弱性を受けての対応なので、仕方ないとは思いますが、eCh0raix 亜種のこともあるので、一日も早いパッチが望まれます。QNAP や Synology だけのことを考えるなら、脆弱性 CVE-2021-3711 CVE-2021-3712 の公表と、両社のパッチ適用がシンクロするほうが良いのですが、OpenSSL は他でも利用されているプロダクトなので、そうもいかないのでしょう。

%d bloggers like this: