QNAP QVR ビデオ監視ソリューションの深刻な脆弱性が FIX:リモートコマンド実行などに対応

QNAP fixes critical QVR remote command execution vulnerability

2022/05/05 BleepingComputer — 今日、QNAP は、複数のセキュリティ・アドバイザリを発表した。そのうちの1つは、NAS デバイスにホストされている、同社のビデオ監視ソリューション QVR System における任意のリモート・コマンド実行という、深刻なセキュリティ脆弱性に関するものだ。QVR IP ビデオ監視システムは、複数のフィード・チャネルとクロス・プラットフォームに対応するビデオデ・コーディングをサポートしており、ホーム/オフィス環境を監視するために設計されている。

この脆弱性 CVE-2022-27588 の深刻度は 9.8 であり、Ver 5.1.6 Build 20220401 以前の古い QVR のに影響をおよぼすとされる。QNAP のアドバイザリは、「この脆弱性は、QVR を実行する QNAP VS Series NVR に影響することが報告されている。この脆弱性の悪用に成功したリモートの攻撃者は、任意のコマンドを実行できるようになる」と説明している。

この種のセキュリティ上の欠陥により、ターゲット上でコマンドを実行する脅威アクターに対して、コンフィグレーションの変更/機密情報へのアクセス/デバイスの制御などが許されてしまう。また、状況によっては、ネットワークに深く入り込むために悪用される可能性もある。

過去の例にも見られたように、QNAP システムにおける深刻な脆弱性は、侵害の方法が公開されると、ほぼ即座にサイバー攻撃で悪用されている。BleepingComputer は QNAP に連絡を取り、CVE-2022-27588 の活発な悪用についての情報を求め、同社の回答とともに記事を更新する予定である。

QNAP における複数の修正

QVR の深刻な問題とは別に、QNAP は他製品における 8件の脆弱性にも対処したが、それらの深刻度は High ~ Medium となっている。以下は、修正内容の完全なリストである。

  • CVE-2022-27588: Critical-severity RCE in QNAP QVR
  • CVE-2021-38693: Medium-severity path traversal vulnerability in thttpd, affecting QTS, QuTS hero, and QuTScloud.
  • CVE-2021-44055: Medium severity flaw allowing remote access of data in some Video Station versions.
  • CVE-2021-44056: Medium severity flaw allowing remote access of data in some Video Station versions.
  • CVE-2021-44057: High-severity vulnerability in QNAP NAS running Photo Station.
  • CVE-2021-44051: High-severity command injection flaw that allows arbitrary remote command execution in QTS, QuTS hero, and QuTScloud.
  • CVE-2021-44052: High-severity link resolution flaw that allows malicious file actions in QTS, QuTS hero, and QuTScloud.
  • CVE-2021-44053: High-severity cross-site scripting (XSS) flaw that allows remote code injection in QTS, QuTS hero, and QuTScloud.
  • CVE-2021-44054: High-severity open-redirect vulnerability that allows user redirection to a malware-laced page in QTS, QuTS hero, and QuTScloud.

一連の脆弱性の影響を受けるバージョンと、セキュリティ更新を組み込んだバージョンの詳細については、上記の対応する CVE をクリックしてほしい。現時点において、QNAP は緩和策を提供していないため、利用可能な最新バージョンにソフトウェアを更新することが推奨される。

お隣のキュレーション・チームに聞いてみたところ、この Critical な脆弱性 CVE-2022-27588 は、5月12日にレポートされているとのことでした。この製品については、2021年9月の「QNAP QVR ビデオ監視ソリューションの深刻な脆弱性が FIX」で取り上げていました。その時も、脆弱性 脆弱性 CVE-2021-34351/CVE-2021-34348 の CVSS 値は 9.8 でした。QNAP の場合ですが、脆弱性が公開されると、すぐに悪用が始まるという傾向がありますので、ご注意ください。

%d bloggers like this: