QNAP NAS の深刻な脆弱性 CVE-2023-23368／CVE-2023-23369 が FIX

QNAP Fixed Two Critical Vulnerabilities In QTS OS And Apps

2023/11/06 SecurityAffairs — 台湾のベンダーである QNAP Systems は、同社の NAS デバイス上の QTS オペレーティングシステム／アプリケーションに影響を及ぼす、２件の深刻なコマンド・インジェクションの脆弱性 CVE-2023-23368／CVE-2023-23369 に対処した。

脆弱性 CVE-2023-23368 (CVSS：9.8) は、OS コマンド・インジェクションを引き起こすものであり、リモートの攻撃者に悪用され、ネットワーク経由でコマンドを実行される可能性があるという。この脆弱性は、CataLpa of Hatlab, Dbappsecurity により報告された。

QNAP のアドバイザリには、「この OS コマンド・インジェクションの脆弱性が、複数の QNAP オペレーティング・システムに影響を及ぼすことが報告されている。この脆弱性の悪用に成功したリモートの攻撃者が、ネットワーク経由でコマンドを実行する可能性がある」と記されている。

以下は、影響を受ける製品のバージョンと、提供されている修正バージョンである：

Affected Product	Fixed Version
QTS 5.0.x	QTS 5.0.1.2376 build 20230421 and later
QTS 4.5.x	QTS 4.5.4.2374 build 20230416 and later
QuTS hero h5.0.x	QuTS hero h5.0.1.2376 build 20230421 and later
QuTS hero h4.5.x	QuTS hero h4.5.4.2374 build 20230417 and later
QuTScloud c5.0.x	QuTScloud c5.0.1.2374 and later

もう１つの脆弱性 CVE-2023-23369 (CVSS：9.0) も、リモートの攻撃者に悪用されると、ネットワーク経由でのコマンド実行を許す可能性がある。

QNAP のアドバイザリには、「この OS コマンド・インジェクションの脆弱性は、いくつかの QNAP オペレーティング・システム／アプリケーションに影響を及ぼすことが報告されている。この脆弱性の悪用に成功したリモートの攻撃者が、ネットワーク経由でコマンドを実行する可能性がある」と記されている。

この欠脆弱性は Eqqie により報告されたものである。以下は、影響を受ける製品バージョンと、提供されている修正バージョンである：

Affected Product	Fixed Version
QTS 5.1.x	QTS 5.1.0.2399 build 20230515 and later
QTS 4.3.6	QTS 4.3.6.2441 build 20230621 and later
QTS 4.3.4	QTS 4.3.4.2451 build 20230621 and later
QTS 4.3.3	QTS 4.3.3.2420 build 20230621 and later
QTS 4.2.x	QTS 4.2.6 build 20230621 and later
Multimedia Console 2.1.x	Multimedia Console 2.1.2 (2023/05/04) and later
Multimedia Console 1.4.x	Multimedia Console 1.4.8 (2023/05/05) and later
Media Streaming add-on 500.1.x	Media Streaming add-on 500.1.1.2 (2023/06/12) and later
Media Streaming add-on 500.0.x	Media Streaming add-on 500.0.0.11 (2023/06/16) and later

ネットワーク管理者に推奨されるのは、この脆弱性を悪用する脅威アクターによるデバイスの乗っ取りを防ぐために、迅速に対処することである。

このところ、QNAP NAS には脆弱性が発生していませんでしたが、CVE-2023-23368／CVE-2023-23369 の CVSS スコアは 9.8 と 9.0 なので、ご注意ください。よろしければ、QNAP NAS で検索も、ご利用ください。