Nearly 30,000 QNAP Devices Exposed Via New Bug
2023/02/01 InfoSecurity — 今週に NAS (Network-Attached Storage) ベンダーの QNAP が公表した新しい脆弱性は、全世界で約 30,000 台のデバイスで悪用される可能性があると、Censys は述べている。Censys がインターネットをスキャンしたところ、QNAP ベースのシステムを実行している 67,415 台のホストが世界中で見つかった。そのうちで、バージョンを確認できたものは僅か 30,250 台であり、また、新しい脆弱性を悪用する攻撃に対して、98% が脆弱だろうという状況が判明した。
Censys の Senior Security Researchers である Mark Ellzey によると、QNAP がバグを修正するためにリリースした、更新版のファームウェアを実行していたのは、僅か数百台だったという。
彼は、「バージョンを確認できた 30,520 台のホストのうち、QTS Hero h5.0.1.2248 以上/QTS 5.0.1.2234 以上だったのは 557台であり、この脆弱性の影響を受けるものが 29,968台もあることが判明した。この脆弱性が公開され、武器化されると、何千もの QNAP ユーザーに被害が及ぶ可能性がある。今後のランサムウェア・キャンペーンから身を守るために、直ちに QNAP デバイスをアップグレードする必要がある」と警告している。
脆弱性のあるホストの多くは米国 (3,149台) に存在しており、それに続くのがイタリア (3,200台) /台湾 (1,942台) である。
現時点において、この脆弱性 CVE-2022-27596 の詳細は伏せられているが、顧客がパッチを適用する時間を確保するためだと考えられる。しかし、脅威アクターたちが、この脆弱性の悪用に目を向けるのは、そう遠くないかもしれないと、Censys は警告している。
Ellzey は、「QNAP は、Deadbolt ランサムウェア・キャンペーンに関する問題を議論してきた。このキャンペーンは、最盛期には 20,000 台以上のデバイスに感染し、被害者から $200,000 あまりを盗み出すことに成功している。悪質な脅威アクターたちが、新しいエクスプロイトを使用しているという兆候はないが、この脅威は確実に進行中だ。Deadbolt ランサムウェアが繰り返して、QNAP NAS デバイスを標的してきたことを考慮すると、エクスプロイトが公開されたときに、同じランサムウェアが広まる可能性が非常に高い」と主張している。
この脆弱性 CVE-2022-27596 (CVSS:9.8) は SQL インジェクションの脆弱性に分類されており、未認証で簡単に悪用できてしまうとのことだ。
文中にあるように、脆弱性のあるホストは、米国の 3,149台がトップですが、Censys のレポートを読むと、日本は5位で 1,714台となっています。これまでの、Deadbolt 攻撃の凄まじさを考えると、日本のユーザーも警戒態勢を取る必要があるでしょう。よろしければ、以下の関連記事も、ご参照ください。
2023/01/30:QNAP QTS/QuTS の CVE-2022-27596 が FIX
2022/10/19:Deadbolt 感染が 674% の急増:QNAP 攻撃
2022/09/12:QNAP NAS に DeadBolt 攻撃:CVE-2022-27593
2022/09/05:QNAP 対 Deadbolt:Photo Station のゼロデイ
2022/07/07:QNAP 警告:Checkmate が NAS を標的にしている
2022/06/17:QNAP の警告:DeadBolt によるキャンペーンが始まった?
IoT OT Security News 
You must be logged in to post a comment.