QNAP NAS の脆弱性 CVE-2024-21899 などが FIX:直ちにアップデートを!

QNAP warns of critical auth bypass flaw in its NAS devices

2024/03/08 BleepingComputer — 台湾の NAS (Network Attached Storage) 機器メーカーである QNAP の NAS ソフトウェア製品に、3つの脆弱性が発見された。これらの脆弱性は、同社の QTS/QuTS hero/QuTScloud/myQNAPcloud などに影響を及ぼすものであり、攻撃者にデバイスへのアクセスをゆるし、認証バイパス/コマンド・インジェクション/SQL インジェクションの可能性を生じるものだ。


発見された3つの脆弱性のうちの、CVE-2024-21900/CVE-2024-21901 の悪用の条件としては、ターゲット・システム上での認証が必要となるため、リスクが大幅に軽減される。しかし CVE-2024-21899 に関しては、認証なしでリモートから実行可能であるため、”Low Complexity” に分類されている。

それぞれの脆弱性の詳細は、以下の通りだ:

  • CVE-2024-21899:不適切な認証メカニズムにより、攻撃者がネットワークを通じて、システムのセキュリティをリモートで侵害する可能性がある。
  • CVE-2024-21900:この脆弱性の悪用に成功した認証済の攻撃者は、ネットワークを経由してシステム上で任意のコマンド実行が可能になるため、 潜在的に不正なシステム・アクセスや制御が生じる可能性がある。
  • CVE-2024-21901:この脆弱性の悪用に成功した認証済の攻撃者は、ネットワーク経由で悪意の SQL コードの注入が可能になる。そのため、 潜在的にデータベースの完全性が損なわれ、データが操作される可能性がある。

これらの脆弱性の影響を受けるのは、QTS 5.1.x/QTS 4.5.x/QuTS hero h5.1.x/QuTS hero h4.5.x/QuTScloud c5.x/myQNAPcloud 1.0.x などの、各種の QNAP OS バージョンである。

ユーザーに対して推奨されるのは、3つの脆弱性に対処した、以下のバージョンへのアップグレードである:

  • QTS 5.1.3.2578 build 20231110 以降
  • QTS 4.5.4.2627 build 20231225 以降
  • QuTS hero h5.1.3.2578 build 20231110 以降
  • QuTS hero h4.5.4.2626 build 20231225 以降
  • QuTScloud c5.1.5.2651 以降
  • myQNAPcloud 1.0.52 (2023/11/24) 以降

QTS/QuTS hero/QuTScloud のユーザーは、管理者としてログインし、Control Panel > System > Firmware Update へと進み、Check for Update をクリックすると、自動インストール・プロセスが開始される。

myQNAPcloud をアップデートするには、管理者としてログインし、App Center を開いて検索ボックスをクリックし、myQNAPcloud と入力し、Update ボタンをクリックする。

NAS デバイスには、機密性の高い個人情報/知的財産/重要なビジネス・データなどの、企業や個人にとって貴重なデータが大量に保存されているケースが多い。同時に、NAS デバイスは厳密には監視されておらず、常にインターネットに接続された状態にあり、また、古い OS/ファームウェアを使用している可能性がある。こうした理由から、NAS デバイスは、頻繁にデータの盗難や恐喝の標的にされている。

QNAP デバイスを標的にしたランサムウェアとしては、DeadBoltCheckmateQlocker などが知られている。これらのグループは、NAS ユーザーに対して数多くの攻撃を仕掛けており、時にはゼロデイ・エクスプロイトを活用して、完全にパッチが適用されたデバイスに侵入することもある。

NAS ユーザーへ推奨する対策としては、まずは常にソフトウェアをアップデートしておくこと、そして何よりも、この種のデバイスをインターネットにさらさないことだ。

QNAP NAS に3件の脆弱性です。その中でも、CVE-2024-21899 は、不適切な認証メカニズムに起因しているため、注意が必要とのことです。直近の QNAP NAS の脆弱性は、2024/02/13 の「QNAP NAS デバイスのゼロデイ脆弱性 CVE-2023-50358 が FIX:すでに悪用が始まっている」です。よろしければ、QNAP NAS で検索と併せて、ご参照ください。