Critical QNAP QVR Pro Vulnerability Let Remote Attackers Gain Access to the System
2026/03/23 CyberSecurityNews — QNAP が公開したのは、同社の監視ソフトウェア QVR Pro に存在する深刻な脆弱性 CVE-2026-22898 に対処する重要なセキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステムへの不正アクセスを可能にする。QVR Pro 2.7.x を利用するユーザーは、直ちに最新パッチを適用し、NAS 環境を潜在的な侵入から保護する必要がある。
脆弱性 CVE-2026-22898 は、QVR Pro アプリケーション内の重要な機能における認証チェックの欠如に起因する。FuzzingLabs のセキュリティ研究者の発見/報告により、アクセス制御メカニズムにおける深刻な不備が指摘された。 特定の機能において、認証プロセスの不適切な実装による完全な認証バイパスが可能が可能であるため、有効な認証情報を持たない攻撃者が、脆弱なエンドポイントへアクセスし、通信を行うことが可能になる。
QNAP QVR Pro の重大な脆弱性
外部ネットワークと機密性の高い内部データの接点に位置する監視アプリケーションにおいて、この種のセキュリティ欠陥は特に危険である。
脆弱性 CVE-2026-22898 の悪用に成功した攻撃者は、QVR Pro サービスを実行する QNAP システムへの不正アクセスを獲得する。そして侵入後には、監視設定の改竄/ライブ映像へのアクセス/ローカル・ネットワーク内でのラテラル・ムーブメントなどを可能にする。
ランサムウェア・グループ/ボットネット・オペレータ/データ恐喝などの攻撃者にとって、NAS (Network Attached Storage) デバイスは主要な標的である。 この脆弱性を未修正のまま放置すると、システム全体の侵害やデータ窃取などに加えて、エンタープライズ・ネットワーク全体への悪意のペイロード展開のリスクが大幅に増加する。
すでに QNAP は、最新リリースを提供し、この問題に対処している。QVR Pro 2.7.x を運用する、すべての管理者に対して強く推奨されるのは、バージョン 2.7.4.1485 以降への速やかなアップグレードである。 このパッチにより、重要な機能への不正アクセスを防ぐための認証チェックが復元される。
アップデート手順
管理者が取るべき手順は、QTS/QuTS Hero インターフェイスへの、管理者権限でのログインから始まる。その後に、ダッシュボードから App Center へ移動し、検索機能で QVR Pro アプリケーションを特定する。脆弱なバージョンがインストールされている場合には、アップデート・オプションが表示される。
管理者はアップデートを実行し、確認メッセージを待機した後に、パッチ適用済みアプリケーションが安全にインストールされたことを確認する必要がある。QNAP が推奨するのは、アップデートが正常に適用されたことの検証と、環境がリモート攻撃に対して完全に保護されていることの確認である。
この脆弱性 CVE-2026-22898 の原因は、認証チェックの欠如にあります。本来であれば、システムへのアクセスにおいては、正しい手続きを確認する仕組みが必要ですが、特定の機能において、そのプロセスに不備が発見されました。その結果、認証情報を持たない外部の攻撃者であっても、大切な監視データやネットワーク内部へ侵入できてしまう状態になっていました。ご利用のチームは、ご注意ください。よろしければ、QNAP での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.