Synology の AFP (Apple Filing Protocol) に深刻な脆弱性:パッチ適用までの緩和策とは?

Synology warns of critical Netatalk bugs in multiple products

2022/04/28 BleepingComputer — Synology の NAS アプライアンスの一部が、複数の深刻な Netatalk 脆弱性の悪用による攻撃にさらされていると、顧客に対する警告が発せられた。同社は、「Synology DiskStation Manager (DSM) および Synology Router Manager (SRM) における複数の深刻な脆弱性の悪用に成功した攻撃者に対して、機密情報の取得と、任意のコード実行を許す可能性がある」と述べている。

Netatalk とは AFP (Apple Filing Protocol) のオープンソース実装であり、NIX/BSD を実行しているシステムを、macOS クライアントの AppleShare ファイル ・サーバー (AFP) として機能させるものだ。それにより、Synology NAS デバイスに保存されているファイルへのアクセスが実現する。

このセキュリティ・バグが公開され、その悪用が証明された Pwn2Own 2021 ハッキング コンテストから 3 ヶ月後の、 3 月22 日にリリースされた Ver3.1.1 で、Netatalk 開発チームは問題に対処している。

90日以内にパッチを提供

Pwn2Own コンテストにおいて NCC Group の EDG チームは、My Cloud OS ファームウェアを搭載した Western Digital PR4100 NAS 上で、この脆弱性 CVE-2022-23121 (深刻度 9.8) を利用し、認証なしのリモートコード実行を達成した。

今日の警告で Synology は、同じく深刻度 9.8 の脆弱性 CVE-2022-23125/CVE-2022-23122/CVE-2022-0194 を強調している。これらの脆弱性の悪用に成功した攻撃者は、未パッチのデバイス上で、認証を必要とせずに任意のリモートコード実行できる。

2022年3月に Netatalk 開発チームは、一連の欠陥に対処するためのセキュリティ・パッチをリリースしたが、影響を受ける一部の製品のリリースは今後になると、Synology は述べている。

また、Synology はアップデートの推定スケジュールを提供していないが、影響を受けるソフトウェアのパッチは、アドバイザリが公開されてから 90 日以内に行われるのが一般だと述べている。それに加えて、DiskStation Manager (DSM) 7.1 以降を実行しているアプライアンスについては、すでに Netatalk の脆弱性は修正されているとも述べている。

ProductSeverityFixed Release Availability
DSM 7.1CriticalUpgrade to 7.1-42661-1 or above.
DSM 7.0CriticalOngoing
DSM 6.2CriticalOngoing
VS Firmware 2.3CriticalOngoing
SRM 1.2CriticalOngoing

QNAP も Netatalk のパッチに取り組んでいる

今週の初めに、同じく台湾の QNAP も、NAS アプライアンス上の Netatalk における深刻な脆弱性が修正されるまで、NAS デバイスの AFP (Apple Filing Protocol) 無効にするよう、顧客に対して要請している。

QNAP によると、Netatalk の脆弱性は複数の QTS/QuTS hero オペレーティング・システムと、同社のクラウドに最適化された NAS オペレーティング・ システム QuTScloud に影響を及ぼすとのことだ。

Synology と同様に、QNAP も影響を受ける OS バージョンの 1 つに対してパッチをリリースしており、QTS 4.5.4.2012 Build 20220419 以降を実行しているアプライアンスには、すでに修正プログラムが提供されている。

同社は、「QNAP においては、徹底的な調査が行われている。影響を受けるすべてのQNAP OS バージョンのセキュリティ・アップデートをリリースし、可能な限り早急に情報を提供する予定だ。

つい先日に QNAP も、同じ AFP (Apple Filing Protocol) の脆弱性を公表していました。CVE は CVE-2022-23121 だけが記されていましたが、Synology は CVE-2022-23125/CVE-2022-23122/CVE-2022-0194 も合わせて公表しています。Ubuntu のアドバイザリを見ると、これらも Netatalk の脆弱性のようです。ただし、CVE-2022-23121 も含めて、Miter には登録されていても、MVD はマダという状況です。AFP (Apple Filing Protocol) をお使いのユーザーは、お気をつけください。