Critical Vulnerabilities in QNAP Notes Station 3: Update Now to Protect Your Data
2024/11/25 SecurityOnline — QNAP が発表したセキュリティ勧告は、QNAP デバイス上のメモ管理/共有アプリケーションである、Notes Station 3 に存在する複数の脆弱性に関するものだ。修正プログラムの適用を怠った場合には、これらの脆弱性が悪用され、不正アクセス/データ盗難/リモート・コマンド実行などの危険に、システムがさらされる可能性が長じる。
QNAP の勧告で取り上げられたのは、Notes Station 3 バージョン 3.9.x に影響する、4つの重大なセキュリティ脆弱性である。
- CVE-2024-38643 (CVSS 9.3):重要な機能における認証欠如の脆弱性。この脆弱性の悪用に成功した、リモートの攻撃者は、システムにアクセスする可能性を得る。
- CVE-2024-38644 (CVSS 8.7):コマンド・インジェクションの脆弱性。 ユーザー・アクセス権を持つ攻撃者が、システム上での任意のコマンド実行の可能性を得る。
- CVE-2024-38645 (CVSS 9.4):SSRF (server-side request forgery) の脆弱性。 この脆弱性には、ユーザー・アクセス権を持つ攻撃者に対して、アプリケーション・データの読み取りを許す可能性がある。
- CVE-2024-38646 (CVSS 8.4):重要なリソースに対する、不正な権限の割り当ての脆弱性。 管理者権限を持つローカルの攻撃者に対して、機密データへの不正アクセスを許す恐れがある。
これらの脆弱性には、リモート/ローカルの攻撃者により悪用される可能性があるため、以下のような各種の影響が考えられる。
- 不正なシステム・アクセス
- 任意のコマンドの実行
- アプリケーション・データの露出
- 重要なリソースへの不正アクセス
これら、すべての脆弱性は、CVSS 値 8.0 以上と評価されており、個人/企業の環境に深刻なリスクをもたらすと示唆される。
これらの脆弱性は、Notes Station 3 バージョン 3.9.x に影響を及ぼすものであり、3.9.7 以降で対処されている。ユーザーに対して推奨されるのは、アプリケーションのバージョンを確認し、推奨されるアップデートを直ちに適用することである。
Notes Station 3 のアップデートの手順を以下に記す:
- [OK]をクリックすると、アプリケーションが更新される。
- QTS/QuTS hero に、管理者としてログオンする。
- App Center を開き、
をクリックする。 - 検索ボックスが表示される。
- “Notes Station 3” と入力し、ENTER キーを押す。
検索結果に Notes Station 3 が表示される。 - [Update] をクリックすると、確認メッセージが表示される。
注:Notes Station 3 が、すでに最新の状態になっている場合には、更新ボタンを使用できない。
QNAP アプリである、Notes Station 3 の脆弱性が FIX しました。認証欠如のバグなどもリますので、ご利用のチームは、ご注意ください。同社の Web サイトで確認しましたが、NAS からコンテンツ管理へと、ビジネスの幅を広げているように感じられます。よろしければ、QNAP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.