QNAP QVR ビデオ監視ソリューションの深刻な脆弱性が FIX

QNAP fixes critical bugs in QVR video surveillance solution

2021.09/27 BleepingComputer — NAS (Network-attached storage) メーカーの QNAP は、同社のビデオ管理システム QVR に存在する、任意のコマンド実行に悪用される可能性の、2つの深刻な問題にパッチを適用した。QNAP の QVR ソフトウェアを、IP カメラと組み合わせることで、リアルタイムな監視/録画/再生/アラーム通知を可能にする、プロフェッショナルなソリューションが実現されると、同社は宣伝している。

3つのセキュリティ問題

QNAP が発表したのは、QVR に存在する3つのコマンド・インジェクションの脆弱性であり、そのうち2つの CVSS は 9.8 を示している。脆弱性 CVE-2021-34351 と CVE-2021-34348 は、脆弱なシステム上でリモートの攻撃者によりコマンドが実行され、デバイスの完全な制御につながる可能性がある。

これらの2の問題とは別に、脆弱性 CVE-2021-34349 も修正されている。この問題は同じクラスのものだが、深刻度のスコア 7.2 となっている。深刻度の違いは、バグを悪用するために必要な権限の違いによる。前者は何も必要としないが、後者を悪用する攻撃者は、高い権限を必要とする。

QNAP は、より深刻な2の脆弱性は、QVR を搭載した EoL (End of Life) 製品にも影響すると指摘している。サポートが終了したデバイスであっても、多くの顧客が使用している可能性があるため、同社はソフトウェア・アップデート (QVR 5.1.5 build 20210803) をリリースしている。

いずれのバグも、悪用されているかどうかは不明である。BleepingComputer は、この件について QNAP に説明を求めており、現在は回答を待っているところだ。

魅力的なデバイス

これらのデバイスが、さまざまな規模の企業のビデオ監視に使用されていることを考えると、これらの脆弱性を悪用する脅威アクターの動機が分かるかもしれない。今年の初めに、Qlocker ランサムウェアというキャンペーンで、サイバー犯罪者グループは QNAP NAS デバイスの脆弱性 (認証情報ハードコード) を利用して、7-Zip アーカイブ・ユーティリティによりファイルを暗号化していった。

その時の被害者は、主に消費者や中小企業であり、ファイル復旧のために $500 を要求されたが、これは多くの人が支払うことのできる金額だった。Qlocker ランサムウェア実行者は、被害者から集めた身代金で、わずか5日間で少なくとも $260,000 を稼いだと推定されている。3月には、Verkada が管理する、ライブ監視カメラにアクセスしたハッカーが、全米の有名企業/医療機関/刑務所/銀行などの映像を流出させている。

ビデオ・モニタリングは、いまでは、あらゆる所に入り込んでいるだけに、深刻な脆弱性がでると、その被害の範囲は広大なものになると思われます。文中にある、Qlocker ランサムウェアによる $500 の身代金と、5日間の $260,000 の稼ぎという部分が、この種のプロダクト/サービスの利用形態を示していると思います。IoT とランサムウェアの未来を示唆するようなインシデントですね。

%d bloggers like this: