CVE-2023-50358: A zero-day vulnerability affecting QNAP NAS devices
2024/02/13 SecurityOnline — QNAP Network Attached Storage (NAS) デバイスに、深刻なゼロデイ脆弱性 CVE-2023-50358 が発見された。この脆弱性の悪用に成功した攻撃者はリモートでコマンドを実行し、脆弱なシステムを完全に制御する可能性がある。この脆弱性は、すでに活発に悪用されている。
2023年11月7日に、Unit 42 の研究者たちは、同社の Advanced Threat Prevention プラットフォームを通じて、QNAP デバイスを標的とする不審な攻撃トラフィックを検出した。そして、その後の彼らの研究により、このトラフィックに関連する新たな脆弱性が発見されたが、その脆弱性は直接悪用されてはいなかった。
この OS コマンド・インジェクションの脆弱性 CVE-2023-50358 は、攻撃の複雑性が低く、重大な影響を与える可能性があるため、脅威アクターにとっては魅力的なものだ。複雑な操作を必要とせずに、リモートでデバイス上のコードを実行できる脆弱性というのは、脅威アクターの格好の標的となる。そのため、脆弱な IoT デバイスの保護は、従来のセキュリティ・タスクから、必須のミッションへと急変している。
研究者たちは、289,665 の個別の IP アドレスから、脆弱なデバイスを検出した。
Image: Unit 42
事態の深刻さを認識した QNAP は、Palo Alto に謝意を表し、速やかにセキュリティ・アドバイザリを発表した。QNAP がユーザーに対して推奨しているのは、QTS/QuTScloud hero の最新バージョンである QTS 5.1.5/QTS hero h5.1.5 へのアップデートである。このアップデートは、単なる予防措置ではなく、迫り来る脅威に対する防御を強化するために必要なステップとなる。
さらに QNAP は、シンプルかつ効果的なセルフ・テスト手順を提供した。デバイス上の特定のURLにアクセスすることで、ユーザーは自分の脆弱性の状態を素早く判断することができる。
- ブラウザで以下の URL をテストする:
- https://<NAS IP address>:<NAS system port>/cgi-bin/quick/quick.cgi
- 以下のようなレスポンス(HTTP 404エラー)が返ってきたら、あなたのシステムは脆弱ではないということだ:
- “Page not found or the web server is currently unavailable. Please contact the website administrator for help.”
- 空のページ (HTTP 200) が表示された場合は、次のステップに進む。
- OS を以下のバージョン以降にアップデートする:
- QTS 5.0.0.1986 build 20220324 以降
- QTS 4.5.4.2012 build 20220419 以降
- QuTS h5.0.0.1986 build 20220324 以降
- QuTS h4.5.4.1991 build 20220330 以降
- ブラウザで、上記の URL をもう一度テストする。
- 以下のレスポンス (HTTP 404 エラー) が返ってくれば、あなたのシステムは脆弱性から解放されたということだ:
- “Page not found or the web server is currently unavailable. Please contact the website administrator for help.”
- 空のページ (HTTP 200) が表示された場合は、QNAP テクニカル・サポートに問い合わせる。
QNAP NAS の脆弱性が悪用されているとのことです。ご利用のチームは、パッチをお急ぎください。前回の QNAP 関連の記事は、2024/02/05 は「QNAP QTS/Qsync Central の複数の脆弱性が FIX:直ちにアップデートを!」です。よろしければ、QNAP で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.