QNAP Addresses High Severity Vulnerabilities in License Center and Operating Systems
2024/12/08 SecurityOnline — NAS プロバイダー QNAP が発表したセキュリティ勧告は、License Center/QTS/QuTS OS に存在する複数の脆弱性に対応するものだ。それらの脆弱性の深刻度は Low から High にまで至るが、最も深刻度が高い脆弱性 CVE-2024-50393 は、リモートの攻撃者に任意のコマンド実行をゆるす可能性があるものだ。
License Center の脆弱性 (QSA-24-50)
CVE-2024-48863 (CVSS:7.7)
License Center バージョン 1.9.x に存在する、コマンド・インジェクションの脆弱性。この脆弱性の悪用に成功したリモートの攻撃者は、システムの完全な制御を得るだろう。この脆弱性は、License Center バージョン 1.9.43 で修正されている。
QTS/QuTS hero の脆弱性 (QSA-24-49)
QTS/QuTS hero OS に存在する、以下の脆弱性も修正された:
- CVE-2024-48859:不適切な認証の脆弱性。リモートの攻撃者が、システムのセキュリティを侵害する可能性が生じる。
- CVE-2024-48865:不適切な証明書の検証の脆弱性。ローカルネットワークにアクセスできる攻撃者が、システムのセキュリティを侵害する恐れがある。
- CVE-2024-48866:URL エンコードの不適切な処理の脆弱性。リモート攻撃者が、予期しないシステム動作を引き起こす可能性がある。
- CVE-2024-48867/CVE-2024-48868:CRLF インジェクションの脆弱性。リモートの攻撃者に、アプリケーション・データの改ざんを許す恐れがある。
- CVE-2024-50393 (CVSS 8.7):コマンド・インジェクションの脆弱性。リモートの攻撃者に、任意のコマンド実行を許す可能性がある。
- CVE-2024-50402/CVE-2024-50403:外部制御形式文字列の使用の脆弱性。管理者権限を持つリモートの攻撃者に、機密データの取得/メモリの変更などを許す可能性がある。
すでに QNAP は、QTS/QuTS hero のアップデート版をリリースし、これらの脆弱性に対処している。
QNAP ユーザーへの推奨事項
これらの脆弱性からシステムを保護するための、推奨事項は以下の通りだ:
- License Center を更新: License Center をバージョン 1.9.43 以降に更新する。
- QTS/QuTS hero を更新:QTS/QuTS hero を最新バージョンに更新する。
ユーザーは、これらの対策を実行することで、一連の脆弱性が生み出すリスクを、大幅に軽減できる。
QNAP の License Center/QTS/QuTS に存在する、複数の脆弱性が FIX しました。QNAP に関連する直近の記事は、2024/11/25 の「QNAP Notes Station 3 の脆弱性 CVE-2024-38643 などが FIX:直ちにアップデートを!」となっています。よろしければ、QNAP で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.