PHP の深刻な脆弱性 CVE-2019-11043 :QNAP NAS デバイスにリモートコード実行の危険性

QNAP warns of a critical PHP flaw that could lead to remote code execution

2022/06/22 SecurityAffairs — 台湾のベンダーである QNAP は、QNAP NAS デバイスに影響をおよぼす、PHP の深刻なリモート・コード実行の脆弱性 CVE-2019-11043 (CVSS:9.8) に対処している。この脆弱性の存在により、PHP FastCGI Process Manager (FPM) の特定のコンフィグレーションにおいて、FCGI プロトコルのデータ用に確保されたメモリ領域に関連するバッファ・オーバーフローが発生し、リモートからコードが実行される可能性が生じる。

QNAP はアドバイザリで、「この脆弱性は、nginx の不適切なコンフィグレーションに起因し、PHP 7.1.x (7.1.33)/7.2.x (7.2.24)/7.3.x (7.3.11) に影響を与えることが報告されている。この脆弱性の悪用に成功した攻撃者が、リモートからコードを実行する可能性が生じる。この脆弱性を悪用するためには、nginx/php-fpm の両方が動作している必要がある。QTS/QuTS hero/QuTScloud にはデフォルトで nginx がインストールされていないが、NAS にnginx/hp-fpm をインストールして実行している場合には、QNAP NAS に影響が生じる可能性がある」と述べている。

この脆弱性 CVE-2019-11043 は、以下の QNAP OS を使用するデバイスに影響する:

  • QTS 5.0.x 以降
  • QTS 4.5.x 以降
  • QTS hero h5.0.x 以降
  • QuTS hero h4.5.x 以降
  • QuTScloud c5.0.x 以降

QNAPは、QTS/QTS hero/QuTScloud は、デフォルトで nginx がインストールされていないため、NAS デバイスのデフォルト構成では影響を受けないことを指摘している。

なお、以下の OS バージョンでは、脆弱性に対応済である:

  • QTS 5.0.1.2034 build 20220515 以降
  • QuTS hero h5.0.0.2069 build 20220614 以降

残りの OS バージョンに対するセキュリティ・アップデートは近日中にリリースする予定とのことだ。

研究者たちは QNAP の顧客に対し、デバイスを最新の状態に保つよう促している。最近、専門家たちは、QNAP ネットワーク接続ストレージ(NAS)機器を標的とした、新しい ech0raix ランサムウェア・キャンペーンについて警告を発している。また、QNAP は5月に、DeadBolt ランサムウェアについても顧客に警告し、最新のアップデートをインストールするよう促している。

QNAP はアドバイザリで、「脆弱性を修正し、デバイスの安全性を確保するため、定期的に最新バージョンにアップデートすることを推奨する。製品のサポート状況を確認することで、使用している NAS デバイスで利用可能な、最新のアップデートが確認できる」と結んでいる。

文中にもあるように、最近の QNAP は DeadBolt や eCh0raix の攻撃を受け、とても大変な状況にあるはずです。そこに、PHP の古い脆弱性まで登場してきて、さらに大変になってしまいました。ただ、この脆弱性 CVE-2019-11043 ですが、お隣のキュレーション・チームに聞いたところ、2019年11月に PHP 自身と Linux ディストリビューターたちがアップデートし、20220年の初めに IBM や Apple がアップデートしているとのことでした。それらと比べると、QNAP の対応は遅いですね。

%d bloggers like this: