QNAP NAP に影響をおよぼす Apache HTTP Server のバグ:緩和策の実施が要請される

QNAP asks users to mitigate critical Apache HTTP Server bugs

2022/04/21 BleepingComputer — QNAP NAS デバイスに影響をおよぼす、Apache HTTP Server の脆弱性を悪用しようとする試みを阻止するために、同社は緩和策を適用するよう顧客に要請している。これらの脆弱性 CVE-2022-22721CVE-2022-23943 は深刻度が 9.8 であり、Apache HTTP Server 2.4.52 以下を実行しているシステムに影響を与える。

NVD アナリストの評価 [12] で明らかになったように、ユーザーの操作を必要としない複雑度の低い攻撃で、未認証の攻撃者にリモートからの悪用を許してしまう。現時点において QNAP は、この2つのセキュリティ・バグを調査しており、近々にセキュリティ・アップデートをリリースする予定だとされる。

QNAP は、「CVE-2022-22721 は 32-Bit の QNAP NAS モデルに影響し、CVE-2022-23943 は Apache HTTP Serverのmod_sed を有効にしたユーザーに影響する。この2つの脆弱性を徹底的に調査しており、可能な限り早急にセキュリティ・アップデートをリリースする予定だ」と説明している。

現時点でパッチは存在しないが緩和策が利用できる

QNAP は、パッチが提供されるまでの緩和策を推奨している。脆弱性 CVE-2022-22721 に対しては、LimitXMLRequestBody のデフォルト値を [1M] にし、CVE-2022-23943 に対しては mod_sed を無効にするよう顧客に勧めている。

また QNAP は、QTS OS を実行する NAS デバイスのApache HTTP Server では、mod_sed インプロセス・コンテンツ・フィルターがデフォルトで無効になっていると指摘している。

QNAP は、ローカルの攻撃者に root 権限を許してしまう、Dirty Pipe という深刻度の高い Linux 脆弱性に対応する、セキュリティ・アップデートにも取り組んでいる。
また、QTS/QuTS hero/QuTS cloud を実行している NAS デバイスにおいても、リモートから DoS 状態を引き起こし、脆弱なデバイスをクラッシュさせる OpenSSL バグの影響を受けている。

QuTS cloud c5.0.x を実行しているデバイスの Dirty Pipe バグおよび、3週間前に警告された OpenSSL DoS の欠陥に対するパッチは、現時点ではリリースされていない。同社は、これら2つの脆弱性に対する緩和策は存在しないとし、セキュリティ・アップデートが利用可能になり次第、インストールすること を推奨している。

この Apache HTTP Server の脆弱性 CVE-2022-22721/CVE-2022-23943 ですが、お隣のキュレーション・チームに聞いてみたら、どちらも 3月16日に Apache からの情報がアップされ、3月27日には Ubuntu が、さらに CVE-2022-22721 の方は、4月1日に IBM が追いかけているとのことです。そして、今回は QNAP となったわけです、他のベンダーも後に続きそうな感じですね。よろしければ、QNAP で検索も、ご利用ください。

%d bloggers like this: