CVE-2024-32766 (CVSS 10) – QNAP Vulnerability: Hackers Can Hijack Your NAS
2024/04/28 SecurityOnline — NAS (network attached storage) デバイス 大手の QNAP がユーザーに発したのは、同社の NAS ソフトウェア製品群に存在する、複数の深刻な脆弱性に対して迅速なアップデートを促す勧告である。これらの脆弱性が悪用されると、認証メカニズムを迂回する攻撃者により、リモート・コマンドが実行される可能性などが生じるという。
脆弱性
主要な脆弱性は3件であり、以下の CVE が採番されている:
CVE-2024-27124 (CVSS 7.5)/CVE-2024-32766 (CVSS 10):これらの脆弱性は、脆弱なシステムにコマンドを送信する攻撃者に悪用され、任意のコード実行いたるという、OS コマンド・インジェクションの欠陥である。その結果として、データの窃取/マルウェアのインストールだけではなく、NAS の完全な乗っ取りにいたる可能性も生じる。
CVE-2024-32764 (CVSS 9.9): myQNAPcloud Link サービス内の、重要な機能への不正アクセスを許す危険な脆弱性である。
NAS 悪用の危険性
NAS デバイスは、サイバー・セキュリティの観点から見過ごされがちだが、侵害されると重大なリスクが生じる:
データの機密性:NAS デバイスには、個人の写真や文書から、ビジネスプランや顧客データベースにいたるまでの、あらゆるものが保存されている。それらのデータは、サイバー犯罪者にとって金鉱となる。
ランサムウェアの巣窟: 数多くの攻撃者たちが、NAS デバイスを標的としてランサムウェアをインストールし、身代金を支払うまで所有者のデータをロックする。
攻撃の発射台: 侵害された NAS は、同じネットワーク上の他のデバイスに対する、新たな攻撃を開始する拠点として使用される。その結果として、さらに被害が拡大する可能性が生じる。
今すぐ対策を:アップデートと保護
QNAP は、すべてのユーザーに対して、必要なセキュリティ・パッチを取り込んだ以下のバージョンへと、直ちにアップデートするよう促している:
- QTS 5.1.3.2578 build 20231110 and later
- QTS 4.5.4.2627 build 20231225 and later
- QuTS hero h5.1.3.2578 build 20231110 and later
- QuTS hero h4.5.4.2626 build 20231225 and later
- QuTScloud c5.1.5.2651 and later
- myQNAPcloud 1.0.52 (2023/11/24) and later
- myQNAPcloud Link 2.4.51 and later
NAS セキュリティのベストプラクティス
強力なパスワード:脆弱なパスワードやデフォルトのパスワードを絶対に避ける。
- 定期的なアップデート: NAS ソフトウェアに対して、最新のセキュリティ・パッチを必ず適用する。
- インターネットへの露出の制限:可能な限り、NAS をダイレクトにインターネットに接続しないようにする。リモート・アクセスには、VPN を使用すべきだ。
- 定期的なバックアップ: 最後の防衛策として、最も重要なデータのオフライン・バックアップを作成する。
QNAP の NAS に、3件の深刻な脆弱性です。どれも、CVSS 値が高いので、ご利用のチームは、ご注意ください。最近の QNAP 関連の記事としては、2024/03/08 の「QNAP NAS の脆弱性 CVE-2024-21899 などが FIX:直ちにアップデートを!」があります。QNAP で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.