QNAP Patches High-Severity Bugs in QTS, Qsync Central
2024/02/05 SecurityWeek — 台湾に本社を置く QNAP Systems は、同社製品に存在する 20数件の脆弱性に対するパッチをリリースした。今回に修正された脆弱性のうち、 CVE-2023-45025/CVE-2023-39297 は、OS コマンド・インジェクションの脆弱性に分類されており、QTS 5.1.x/4.5.x、QuTS hero h5.1.x/h4.5.x、QuTScloud 5.x に影響をおよぼすという。
QNAP によると、CVE-2023-45025 は、特定のシステム・コンフィグレーション下において、攻撃者にネットワーク経由でのコマンド実行を許す可能性があるという。その一方で、CVE-2023-39297 を悪用するには、認証が必要になるという。
さらに同社は、OS コマンド・インジェクションの脆弱性 CVE-2023-47567/SQL インジェクションの脆弱性 CVE-2023-47568 に対するパッチも発表した。QTS/QuTS hero/QuTScloud に存在する、これらの脆弱性は、リモートからの悪用が可能であり、悪用には管理者としての認証が必要となる。
これらの4つのセキュリティ脆弱性は全て、QTS 5.1.4.2596 build 20231128/4.5.4.2627 build 20231225、QuTS hero h5.1.4.2596 build 20231128/h4.5.4.2626 build 20231225、QuTScloud c5.1.5.2651 で解決された。
また QNAP は、Qsync Central 4.4.x/4.3.x に影響する、3番目に深刻度の高い脆弱性 CVE-2023-47564 も修正した。
重要なリソースに対する不正なパーミッション割り当てに起因する、この脆弱性の悪用に成功した攻撃者は、認証された重要なリソースの読み取りや変更を、リモートで実行する可能性がある。この脆弱性は、Qsync Central 4.4.0.15/4.3.0.11 で修正された。
さらに QNAP は、コードの実行/サービス拒否 (DoS:Denial-of-Service) 攻撃/コマンドの実行/制限のバイパス/機密データの漏洩/コード・インジェクションなどにつながる可能性のある、複数の Medium レベルの脆弱性に対するパッチもリリースした。
これらの脆弱性の、攻撃での悪用について、同社は言及していない。脆弱性に関する追加情報は、QNAP のセキュリティ・アドバイザリで確認できる。
QNAP にとって、2024年に入って二度目のセキュリティ・アドバイザリとなります。今年の第一弾は、2024/01/06 の「QNAP QTS/QuTS hero の脆弱性 CVE-2023-39296:PoC エクスプロイトが公開」であり、それに比べると、今回の脆弱性は穏やかに感じてしまいます。とは言え、CVE-2023-45025/CVE-2023-39297 の CVSS 値は 9.8 だと、お隣のキュレーション・チームが言っていましたので、ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.