CVE-2024-50394: QNAP Helpdesk Vulnerability Could Allow Remote System Compromise
2025/03/08 SecurityOnline — QNAP が発行したのは、Helpdesk アプリに存在する、不適切な証明書検証の脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-50394 (CVSSv3:7.7) の悪用に成功したリモートの攻撃者は、脆弱なバージョンのアプリを実行している QNAP システムの、セキュリティを侵害する機会を手にする。
この脆弱性は、証明書の不適切な検証に起因しており、セキュリティ対策を回避する攻撃者に対して、システムへの不正アクセスを許す可能性がある。それにより、データ侵害/マルウェアのインストールに加えて、システム全体の乗っ取りが引き起こされる可能性が生じる。
この脆弱性は、QNAP Helpdesk バージョン 3.3.x に影響を及ぼす。ただし、Helpdesk が無効化されているシステムは影響を受けない。
すでに QNAP は、Helpdesk バージョン 3.3.3 以降で、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、最新バージョンへと速やかに更新し、リスクを軽減することだ。
QNAP Helpdesk を更新する際には、以下の手順に従ってほしい:
- QTS/QuTS hero に管理者としてログインする。
- App Center を開く。
- Helpdesk を検索する。
- Update をクリックする。
- 更新を確認する。
この脆弱性の報告者である Corentin ‘@OnlyTheDuck’ BAYET に対して、QNAP は謝意を示している。
QNAP ユーザーに推奨されるのは、定期的なアップデートの確認と、速やかな適用により、潜在的な脅威からシステムを保護することだ。
QNAP Helpdesk における、セキュリティ回避の脆弱性が FIX しました。この脆弱性が悪用されると、データ侵害/マルウェアのインストール/システム全体の乗っ取りなどに至る可能性があるとのことです。ご利用のチームは、アップデートをご検討下さい。よろしければ、QNAP で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.