Vulnerabilities impacting multiple QNAP operating systems (CVE-2022-27597, CVE-2022-27598)
2023/04/04 HelpNetSecurity — QNAP の各種 OS に影響を及ぼす2つの脆弱性 CVE-2022-27597/CVE-2022-27598 が、Sternum により発見された。これらの脆弱性の悪用に成功した認証済のリモートユーザーは、機密データへのアクセスが可能になるため、システム管理者は個々の OS を直ちに更新する必要がある。この脆弱性を発見した研究者たちは、QNAP TS-230 NAS デバイスでパフォーマンステストとベンチマークを実行していた。しかし、予期せぬことに、このデバイスで検出された複数のメモリアクセス違反を知らせる、一連のセキュリティ警告に注目することになった。
CVE-2022-27597 と CVE-2022-27598 の発見
システム上で通知されたアラートにより、各種デバイスのファームウェア内の機能による、複数の境界外の読み取りと書き込みの問題が明らかになった。それらのメモリアクセス違反は、安定性の問題やコードの予測できない動作につながるものだった。さらに、脅威アクターにより悪用された場合には、任意のコードを実行される可能性が生じるものだった。
Sternum の Serper, Director of Security Research である Amit Serper は、「残念なことに、この脆弱性の話は驚くようなことではない。実際のところ、これまでに行った大半のインテグレーションや PoC は、同じ結果で終わっている。つまり、デバイスが接続されると、新しい脆弱性が直ちに発見されていた」と述べている。
彼は、「これらの問題は、現在の開発段階で行われているセキュリティ・テストが残しているギャップであり、さらに憂慮すべきことに、膨大な数の脆弱なデバイスが野放し状態に置かれている状況を物語っている。つまり、無数のデバイスが販売され、それらの多くが、医療/インフラ/通信/輸送などの重要な分野で使用されているため、まだ発見されていない同様の脆弱性がもたらす脅威は、軽視されるべきでものではない」と結論付けている。
影響を受ける OS とアップデートされた OS
この QNAPの脆弱性は、QTS/QuTS hero/QuTScloud/QVP (QVR Pro appliance) などの OS に影響を及ぼす。だたし、これらの OS は、すでにアップデートされている:
- QTS 5.0.1.2346 ビルド 20230322 以降
- QuTS hero h5.0.1.2348 build 20230324 以降
QNAP は、QuTScloud/QVP の脆弱性を積極的に解決しているため、顧客サイドで製品サポート・ステータスを確認し、利用中の NAS モデルの最新アップデートを確認することを推奨する。
QTS/QuTS hero/QuTScloud のアップデート
- 管理者として QTS/QuTS hero/QuTScloud にログインする。
- Control Panel > System > Firmware Update にログオンする。
- Live Update の下にある、Check for Update をクリックし、最新のアップデートをダウンロード/インストールする。
QVP (QVR Pro Appliances) のアップデート
- QVP に管理者としてログインする。
- Control Panel > System Settings > Firmware Update へ進む。
- Firmware Update タブを選択する。
- Browse をクリックし、最新のファームウェア・ファイルをアップロードする。
- Update System をクリックする。
この、QNAP の脆弱性 CVE-2022-27597/CVE-2022-27598 ですが、お隣のキュレーション・チームに聞いてみたら、4月14日付でレポートしていて、どちらも CVSS 値は 4.3 (NVD 参照) とのことです。CVSS スコアが低くても、こうして記事化されるのは、悪用されやすいということなのでしょうか。よろしければ、QNAP で検査も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.