QNAP NAS の Apple Filing Protocol に深刻な脆弱性:パッチ提供までの緩和策とは?

QNAP warns users to disable AFP until it fixes critical bugs

2022/04/27 BleepingComputer — 今週に台湾企業 QNAP は、Netatalk における複数の深刻な脆弱性を修正するまで、NAS アプライアンスの AFP ファイル・サービス・プロトコルを無効にするよう顧客に要請した。Netatalk とは AFP (Apple Filing Protocol) のオープンソース実装であり、NIX/BSD システムを macOS クライアント用の AppleShare AFP として動作させるものだ。

QNAP NAS デバイスでは、macOS システムからの NAS 上のデータへのアクセスを、AFP の利用に可能にしている。QNAP によると、「他のプロトコルではサポートされていない、数多くの macOS 独自の属性をサポートしている」ため、今でも使用されているとのことだ。

今回、QNAP が顧客に警告した3つの深刻な脆弱性 CVE-2022-23125/CVE-2022-23122/CVE-2022-0194 (CVSS:9.8) は、未パッチのデバイス上で認証を必要とせずに任意のリモートコード実行が可能だとされる。

Pwn2Own 2021 ハッキング大会において、NCC Group の EDG チーム・メンバーは、一連の脆弱性 から CVE-2022-23121 (CVSS:9.8) を選び、My Cloud OS ファームウェアを搭載した Western Digital PR4100 NAS で、認証なしのリモートコード実行を達成した。

Netatalk の開発チームは、Pwn2Own コンテスト後に不具合が報告されてから、3カ月が経過した 3月22日に、これらのバグを修正した Ver 3.1.13 をリリースした。QNAP によると、Netatalk の脆弱性 (QTS 4.5.4.2012 build 20220419 以降で修正) は、以下の OS バージョンに影響を及ぼすという。

  • QTS 5.0.x and later
  • QTS 4.5.4 and later
  • QTS 4.3.6 and later
  • QTS 4.3.4 and later
  • QTS 4.3.3 and later
  • QTS 4.2.6 and later
  • QuTS hero h5.0.x and later
  • QuTS hero h4.5.4 and later
  • QuTScloud c5.0.x

QNAP ファームウェアにパッチが適用されるまで AFP を無効にする

QNAP は、「この件を徹底的に調査している。影響を受けるすべての QNAP OS の各バージョンに対するセキュリティ・アップデートをリリースし、また、可能な限り早急に情報を提供していく。これらの脆弱性を軽減するために、AFP を無効にしてほしい。そして、セキュリティ・アップデートが利用可能になり次第、そのインストールを推奨する」と述べている。

QTS/QuTS hero NAS デバイスで AFP を無効にするには、Control Panel > Network & File Services > Win/Mac/NFS/WebDAV > Apple Networking へ移動し、Disable AFP (Apple Filing Protocol) を選択する必要がある。

また、QNAP は、root 権限の不正取得のために活発に悪用されている Dirty Pipe という Linux の脆弱性と、DoS/ リモート・クラッシュにつながる OpenSSL の深刻な脆弱性に取り組んでいる。QuTScloud c5.0.x を実行している NAS デバイスでは、現時点で脆弱性 Dirty Pipe は修正されていないが、OpenSSL 脆弱性に対しては QTS セキュリティ・アップデートをリリースしている。1週間前には、QTS/QTS hero/QTScloud に影響を及ぼす、Apache HTTP Serverの2つの深刻な脆弱性の緩和策を顧客に提供している。

このところ、QNAP の脆弱性に関する記事が多いですが、3月14日の「QNAP 警告:大半の NAS デバイスが Linux の Dirty Pipe 脆弱性の影響を受ける」、3月30日の「QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX」、4月21日の「QNAP NAP に影響をおよぼす Apache HTTP Server のバグ:緩和策の実施が要請される」といった具合に、いずれも QNAP 側の責任ではないというものでした。最近、よく言われる、ソフトウェア・サプライチェーン問題の波を、もろに被っている感じで、ちょっと可哀想ですが、仕方ないですね。