QNAP Warns of OpenSSL Infinite Loop Vulnerability Affecting NAS Devices
2022/03/30 TheHackerNews — 今週に台湾の QNAP は、同社の NAS アプライアンスの一部が、先日に公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにした。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べている。
この脆弱性 CVE-2022-0778 (CVSS score: 7.5) は、セキュリティ証明書を解析する際に発生するバグに関連しており、パッチが適用されていないデバイスでサービス拒否状態を引き起こし、リモートからクラッシュさせることが可能になる。現時点において QNAP は、そのラインナップを調査しており、以下の OS バージョンに影響すると述べている。
- QTS 5.0.x and later
- QTS 4.5.4 and later
- QTS 4.3.6 and later
- QTS 4.3.4 and later
- QTS 4.3.3 and later
- QTS 4.2.6 and later
- QuTS hero h5.0.x and later
- QuTS hero h4.5.4 and later
- QuTS cloud c5.0.x
これまでのところ、この脆弱性が悪用された形跡はないという。3月16日にイタリアの CSIRT が、これに反する勧告を発表しましたが、同機関は The Hacker News に対し、正誤表で警告を更新したと明らかにしている。
この勧告は、QuTS hero (Ver h5.0.0.1949 Build 20220215 以降) 向けのセキュリティ更新プログラムをリリースし、QNAP デバイスに影響を与えるローカル権限昇格の脆弱性 Dirty Pipe に対処してから、ほぼ す1週間後に出されたものだ。QTS および QuTScloud オペレーティング・システム用のパッチは、間もなくリリースされる予定とされる。
この脆弱性 CVE-2022-0778 については、3月16日の「OpenSSL 証明書解析の脆弱性 CVE-2022-0778 が FIX:サービス拒否が発生」が第一報でしたが、QNAP への影響が判明したようです。また、QNAP の問題としては、3月14日の「QNAP 警告:大半の NAS デバイスが Linux の Dirty Pipe 脆弱性の影響を受ける」や、1月16日の「QNAP NAS デバイスに対する攻撃:Qlocker ランサムウェアの新種が観測されている」、1月26日の「QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化」などがあります。
IoT OT Security News 