CVE-2024-48860 (CVSS 9.5): Critical Flaw in QNAP QuRouter, Immediate Update Recommended
2024/11/25 SecurityOnline — QNAP の発表したセキュリティ勧告は、QuRouter ネットワーク・アプライアンスを使用しているユーザーに対して、速やかなデバイスの更新を強く推奨するものである。この勧告で報告された脆弱性は、CVE-2024-48860 (CVSS:9.5) /CVE-2024-48861 (CVSS:7.3) であり、その悪用に成功したリモート攻撃者に対して、デバイス上での任意のコマンド実行を許すという。QNAP が警告するのは、このコマンド・インジェクションの脆弱性を悪用するリモート攻撃者が、任意のコマンド実行を達成することへの懸念である。
影響を受ける製品:
- QuRouter 2.4.x
解決策:
すでに QNAP は、QuRouter バージョン 2.4.3.106 以降をリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、デバイスを更新することである。
更新方法:
以下の手順に従うことで、ユーザーは QuRouter デバイスを更新できる。
- QuRouter にログインする。
- 「ファームウェア」に移動する。
- 「今すぐ更新」を選択する。
- 「最新」を選択する。
- 「適用」をクリックする。
- 再度「適用」をクリックして確認する。
この操作の後に、QuRouter が最新のファームウェアをダウンロードし、インストールする。
それとは別に、QNAPダウンロード・センターから最新のファームウェアをダウンロードし、「QuRouter のファームウェア > 手動アップデート」オプションからインストールすることで、手動でデバイスを更新することもできる。
ファームウェアのアップデート適用が優先されるべきだが、QNAP ユーザーは、以下の点にも留意すべきである。
- デバイスログを定期的に確認し、異常なアクティビティの有無を確認する。
- デバイスへのアクセスには、強力で固有のパスワードを使用する。
- 信頼できるネットワークだけに、リモート・アクセスを制限する。
QNAP QuRouter の脆弱性 FIX しました。CVSS 値が 9.5 の、任意のコマンド実行の脆弱性ですので、ご利用のチームは、ご注意ください。よろしければ、Router で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.