QNAP fixes critical bug letting hackers inject malicious code
2023/01/30 BleepingComputer — QNAP が顧客に発しているのは、QNAP NAS デバイスへの悪意のコード注入を、リモートの攻撃者に許す深刻なセキュリティ脆弱性を修正する、QTS/QuTS ファームウェア・アップデートのインストールの警告である。同社によると、この脆弱性 CVE-2022-27596 の深刻度は Critical (CVSS:9.8) であり、QTS 5.0.1/QuTS hero h5.0.1 に影響を与えるという。
QNAP のセキュリティ・アドバイザリでは、「QTS 5.0.1/QuTS hero h5.0.1 を実行している、QNAP デバイスに影響を与える脆弱性が報告されている。この脆弱性の悪用に成功したリモートの攻撃者は、悪意のコードの注入が可能になる」と警告されている。
同社は、この脆弱性と悪用の可能性に関する詳細を明らかにしていないが、NIST ポータルの分類によると、この脆弱性を SQL インジェクションとなる。
SQL インジェクションの脆弱性は、攻撃者が脆弱なデバイス上へ向けて特別に細工したリクエストを送信し、正当な SQL クエリを変更することで、予期せぬ動作をもたらすものである。
さらに QNAP は、脆弱性の深刻度を記述した JSON ファイルを公開している。それによると、リモート攻撃者による低複雑度の攻撃で、対象となるデバイスでのユーザーによる操作や、特権を必要とせずに、悪用できるとされる。
QNAP によると、QTS/QuTS hero で動作するデバイスの、安全性を保つために、以下のバージョンへのアップグレードする必要があるとされる。
- QTS 5.0.1.2234 build 20221201 以降
- QuTS hero h5.0.1.2248 build 20221215 以降
アップデートを実行するには、まず、管理者ユーザーとしてデバイスにログインし、Control Panel > System > Firmware Update の更新に進む。
続いて、Live Update セクションで、Check for Update オプションをクリックし、ダウンロードとインストールが完了するのを待つ。あるいは、正しい製品タイプおよびモデルを選択した後に、QNAP のダウンロード・センターから更新をダウンロードして、デバイスに手動で適用することも可能だ。
QNAP のアドバイザリでは、CVE-2022-27596 が野放しで活発に悪用されているとは報告されていない。
しかし、QNAP の脆弱性は脅威アクターに狙われやすい。したがって、この脆弱性の深刻度を考えると、利用可能なセキュリティ・アップデートを直ちに適用することが、ユーザーに対して推奨される。
これまでにも QNAP デバイスは、DeadBolt/eCh0raix といったランサムウェア・キャンペーンの標的になっている。このキャンペーンは、インターネットに露出した NAS デバイスの脆弱性を悪用して、データを暗号化するものとして知られている。
文中にもあるように、QNAP は狙われやすいベンダーのようです。2022/09/08 の「CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加」が示すのは、米連邦政府でも QNAP 製品が攻撃に遭っていることの証明です。特に、2022年の秋は、QNAP ユーザーにとって、たいへんな時期だったようです。
2022/10/19:Deadbolt 感染が 674% の急増:QNAP への攻撃
2022/09/12:QNAP NAS に大規模 DeadBolt キャンペーン
2022/09/05:QNAP 対 Deadbolt:Photo Station のゼロデイ
IoT OT Security News 
You must be logged in to post a comment.