TerraMaster NAS の RCE 脆弱性が FIX:Deadbolt ランサムウェア攻撃へのパッチを適用

Critical Bugs in TerraMaster TOS Could Open NAS Devices to Remote Hacking

2022/03/07 TheHackerNews — TerraMaster の NAS デバイスに、最高権限で未認証のリモートコード実行を連鎖的に許してしまうという深刻な脆弱性があることが、研究者にり公表された。この問題は、TerraMaster Operating System (TOS) に存在し、「IP アドレスを知るだけで、認証されていない攻撃者が、被害者のボックスにアクセスできるようになる」と、エチオピアのサイバー・セキュリティ調査会社 Octagon Networks の、Paulos Yibelo が The Hacker News に声明を述べている。

TOS は、TNAS アプライアンス用に設計されたオペレーティング・システムであり、ユーザーに対して、ストレージ管理/アプリケーション・インストール、データ・バックアップなどの機能を提供している。Octagon Networks による責任ある開示を受けて、2022年3月1日にリリースされた TOS Ver 4.2.30で、この欠陥に対するパッチが適用された。

webNasIPS と呼ばれるコンポーネントに存在する、情報漏洩の脆弱性 CVE-2022-24990 は、TOS の ファームウェア・バージョン/デフォルト・ゲートウェイ・インターフェースの IP/MAC アドレス、管理者パスワードのハッシュなどが公開されるものである。もう一方の欠陥である、PHP モジュール createRaid に存在するコマンド・インジェクションの脆弱性 CVE-2022-24989 と連鎖させることで、特別に細工したコマンドを送信するだけで、リモートコード実行を実現するシナリオが発生する。

Yibelo は、「全体として、とても興味深い展開である。私たちは、情報漏えいを持つ複数のコンポーネントと、マシンの時刻に関する情報漏えいを組み合わせ、認証された OS コマンド・インジェクションと連鎖させることで、root として認証されないリモートコード実行を実現した」と述べている。

今回の情報公開は、TerraMaster の NAS デバイスも、QNAP や ASUSTOR などに続き、Deadbolt ランサムウェアの攻撃を受けているこという現実がある。同社は TOS Ver 4.2.30 において、ランサムウェアの展開に利用されたとみられる、脆弱性に対処したと述べている。

Octagon Networks が発見した脆弱性と同じものが、Deadbolt の感染に利用されたかどうかは、すぐには明らかにならない。TerraMaster に対して、さらなるコメントを求め、返答があれば、記事を更新する予定である。

同社は、「Deadbolt ランサムウェア攻撃に関連する、セキュリティ脆弱性を修正したと指摘し、ファイルの暗号化を防ぐためにも、最新バージョンの TOS 4.2.30 以降を再インストールするようユーザーに呼びかけている。

Deadbolt に関連する記事としては、1月26日の「QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化」と、2月24日の「ASUSTOR NAS の警告:Deadbolt ランサムウェアによる攻撃が発生している」がありました。これまでは、NAS というと eCh0raix という名のランサムウェアでしたが、そこから Deadbolt へとシフトしているのでしょうか? それと、3月3日の「GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩」という記事ですが、最も漏洩の多いカテゴリは Data Strage となっています。よろしければ、ご参照ください。

%d bloggers like this: