QNAP fixes seven NAS zero-day flaws exploited at Pwn2Own
2025/11/07 BleepingComputer — QNAP が公表したのは、同社の Network Attached Storage (NAS) デバイスに存在する7件のゼロデイ脆弱性の修正に関する情報である。これらの脆弱性は、Pwn2Own Ireland 2025 コンテストでセキュリティ研究者たちにより、悪用の可能性が実証されたものである。
QNAP の製品に影響を及ぼす脆弱性は以下のとおりである。
- QTS/QuTS hero:CVE-2025-62847/CVE-2025-62848/CVE-2025-62849
- Hyper Data Protector:CVE-2025-59389
- Malware Remover:CVE-2025-11837
- HBS 3 Hybrid Backup Sync:CVE-2025-62840/CVE-2025-62842
これらのセキュリティ脆弱性は、Pwn2Own において Summoning Team/DEVCORE/Team DDOS/CyCraft の技術インターンにより実演されたものだと、QNAP はアドバイザリで述べている。
すでに QNAP は、ソフトウェアを最新バージョンにアップデートし、これらの脆弱性に対処している。したがって、ユーザーに推奨されるのは、すべてのパスワードを変更して、セキュリティを強化することである。
一連の脆弱性は、以下のソフトウェア・バージョンにおいて修正されている。
- Hyper Data Protector:2.2.4.1 以降
- Malware Remover:6.6.8.20251023 以降
- HBS 3 Hybrid Backup Sync:26.2.0.938 以降
- QTS:5.2.7.3297 ビルド 20251024 以降
- QuTS hero:h5.2.7.3297 ビルド 20251024 以降
- QuTS hero:h5.3.1.3292 ビルド 20251024 以降
これらの OS を更新するために、QTS/QuTS hero の管理者としてログインする場合には、Control Panel > System > Firmware Update に移動し、Live Update の Check for Update をクリックする。
QTS/QuTS hero の脆弱性を修正する場合には、管理者として各アプリにログインし、App Center を開く。続いて検索ボタンをクリックし、更新するアプリ名を入力して Enter キーを押す。検索結果が表示されたら Update をクリックし、表示される確認メッセージで OK をクリックして操作を確定する。
QNAP は、「ユーザーに対して推奨されるのは、それぞれの脆弱性を修正し、継続的に最新版へと更新することで、デバイスを保護することだ。NAS モデル向けの最新アップデートは、製品サポート状況で確認できる」と述べている。
いまから1年前にも QNAP は、Pwn2Own Ireland 2024 コンテストで悪用が実証された2つのゼロデイ脆弱性を修正している。1つは Hybrid Backup Sync (災害復旧/データバックアップソリューション) における OS コマンド・インジェクションの脆弱性 CVE-2024-50388 であり、もう1つは QNAP の SMB サービスにおける SQL インジェクション (SQLi) の脆弱性 CVE-2024-50387 である。
なお、2025年11月8日に QNAP は、写真の管理/共有ソリューションである QuMagie バージョン 2.7.0 をリリースしている。このバージョンには、深刻な SQLi 脆弱性 CVE-2025-52425 に対する修正が含まれており、それを放置すると、脆弱なデバイス上で不正なコードやコマンドが実行されるという。
QTS/QuTS hero/HBS/Malware Remover などで発見された入力検証の不足や権限境界の甘さにより、コマンド実行や SQL インジェクションに至る経路が生まれていたようです。Pwn2Own で再現されたように、管理 UI やバックアップ連携といった高権限の面が集中的に突かれると、数多くの問題が露呈するとされます。ご利用のチームは、ご注意ください。よろしければ、QNAP で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.