QNAP warns customers to patch Linux Sudo flaw in NAS devices
2023/03/29 BleepingComputer — 台湾のハードウェア・ベンダーである QNAP は、深刻度の高い Sudo 権限昇格の脆弱性から、Linux 搭載の NAS デバイスを保護するよう顧客に警告している。この脆弱性 CVE-2023-22809 は、Synacktiv のセキュリティ研究者たちにより発見されたものであり、Sudo バージョン 1.9.12p1 における sudoedit 使用時の sudoers ポリシー・バイパスの欠陥として説明されている。
Sudo バージョン 1.8.0〜1.9.12p1 を使用している、パッチ未適用の NAS デバイスの悪用に成功した攻撃者は、ファイルの処理リストに任意のエントリーを追加した後に、編集が許可されていないファイルを操作して、権限昇格を達成するとされる。
この脆弱性は、2023年3月29日 (水) に QNAP が公開したアドバイザリで明らかにしたように、QTS/QTS hero/QTScloud/QVP/QVR Pro/NAS オペレーティング・システムなどに影響を及ぼされる。
同社は、QTS/QTS hero の欠陥に対処したが、QuTScloud/QVP に関してはアップデートの最中とのことだ。
QNAP は、「このセキュリティ・アドバイザリーを定期的にチェックし、更新を確認してほしい。アップデートが利用可能になり次第、速やかにオペレーティング・システムを最新の推奨バージョンに更新してほしい。デバイスの安全性を確保するために、また、脆弱性の修正を反映させるために、システムを定期的に最新バージョンに更新することを推奨する」と警告している。
QNAP NAS デバイスの安全性を確保する方法
QTS/QuTS hero/QuTScloud をアップデートするには、管理ユーザーとしてログインし、Control Panel > System > Firmware Update へと進み、”Live Update” セクションの “Check for Update” オプションをクリックする必要がある。
あるいは、デバイスの製品タイプとモデルを選択した後に、QNAP のダウンロード・センターからファームウェアのアップデートをダウンロードし、手動で適用することも可能だ。
QNAP のアドバイザリによると、脆弱性 CVE-2023-22809 については、野放し状態での悪用は検知されていない。
しかし、この脆弱性は深刻なものであり、また、脅威アクターたちは頻繁に QNAP NAS の欠陥を狙うため、顧客に対しては可能な限り早急にセキュリティ更新プログラムを適用することが推奨されている。
QNAP NAS デバイスを標的とした、最近の攻撃には、インターネットに露出したデバイスのデータを暗号化するために、脆弱性を悪用した DeadBolt/eCh0raix のランサムウェア・キャンペーンがある。
今日の QNAP は、OpenSSL/Samba [1, 2]/自社 OS で発見された、リモート・コマンド実行や情報開示などに悪用が可能な、複数のセキュリティ・バグを修正すると発表した。
昨年から、QNAP のインシデントが止まりません。今回のインシデントは、Sudo の問題なので QNAP も被害者だと言えますが、QNAP により対処されるべき問題となります。QNAP 製品の、ほぼ全域に影響が及ぶので、大規模なアップデートが続くようになりそうです。
2023/02/01:SQLi の脆弱性:約3万台のデバイスが危険
2023/01/30:QTS/QuTS の脆弱性:直ちにパッチ適用を!
2022/10/19 :Deadbolt 感染が 674% 増:QNAPへの攻撃
2022/09/12:QNAP NAS に大規模 DeadBolt キャンペーン
IoT OT Security News 
You must be logged in to post a comment.