QNAP Addresses High Severity Vulnerabilities in License Center and Operating Systems
2024/12/08 SecurityOnline — NAS プロバイダー QNAP が発表したセキュリティ勧告は、License Center/QTS/QuTS OS に存在する複数の脆弱性に対応するものだ。それらの脆弱性の深刻度は Low から High にまで至るが、最も深刻度が高い脆弱性 CVE-2024-50393 は、リモートの攻撃者に任意のコマンド実行をゆるす可能性があるものだ。
Continue reading “QNAP の License Center/QTS などに複数の脆弱性:直ちにアップデートを!”Critical Vulnerabilities in QNAP Notes Station 3: Update Now to Protect Your Data
2024/11/25 SecurityOnline — QNAP が発表したセキュリティ勧告は、QNAP デバイス上のメモ管理/共有アプリケーションである、Notes Station 3 に存在する複数の脆弱性に関するものだ。修正プログラムの適用を怠った場合には、これらの脆弱性が悪用され、不正アクセス/データ盗難/リモート・コマンド実行などの危険に、システムがさらされる可能性が長じる。
Continue reading “QNAP Notes Station 3 の脆弱性 CVE-2024-38643 などが FIX:直ちにアップデートを!”QNAP warns of critical auth bypass flaw in its NAS devices
2024/03/08 BleepingComputer — 台湾の NAS (Network Attached Storage) 機器メーカーである QNAP の NAS ソフトウェア製品に、3つの脆弱性が発見された。これらの脆弱性は、同社の QTS/QuTS hero/QuTScloud/myQNAPcloud などに影響を及ぼすものであり、攻撃者にデバイスへのアクセスをゆるし、認証バイパス/コマンド・インジェクション/SQL インジェクションの可能性を生じるものだ。
Continue reading “QNAP NAS の脆弱性 CVE-2024-21899 などが FIX:直ちにアップデートを!”QNAP Patches High-Severity Bugs in QTS, Qsync Central
2024/02/05 SecurityWeek — 台湾に本社を置く QNAP Systems は、同社製品に存在する 20数件の脆弱性に対するパッチをリリースした。今回に修正された脆弱性のうち、 CVE-2023-45025/CVE-2023-39297 は、OS コマンド・インジェクションの脆弱性に分類されており、QTS 5.1.x/4.5.x、QuTS hero h5.1.x/h4.5.x、QuTScloud 5.x に影響をおよぼすという。
Continue reading “QNAP QTS/Qsync Central の複数の脆弱性が FIX:直ちにアップデートを!”Decoding the CVE-2023-39296 Vulnerability: A Technical and PoC Analysis
2024/01/06 SecurityOnline — QNAP QTS/QuTS hero における深刻な脆弱性 CVE-2023-39296 について、先日にパッチが適用されたが、それに関する技術的詳細と、PoC (Proof-of-concept) エクスプロイト・コードも公開されている。この脆弱性 CVE-2023-39296 (CVSS:7.5) は、プロトタイプ汚染の脆弱性と分類されており、QNAP OS の特定のバージョンに影響をおよぼすものだ。
Continue reading “QNAP QTS/QuTS hero の脆弱性 CVE-2023-39296:PoC エクスプロイトが公開”Vulnerabilities impacting multiple QNAP operating systems (CVE-2022-27597, CVE-2022-27598)
2023/04/04 HelpNetSecurity — QNAP の各種 OS に影響を及ぼす2つの脆弱性 CVE-2022-27597/CVE-2022-27598 が、Sternum により発見された。これらの脆弱性の悪用に成功した認証済のリモートユーザーは、機密データへのアクセスが可能になるため、システム管理者は個々の OS を直ちに更新する必要がある。この脆弱性を発見した研究者たちは、QNAP TS-230 NAS デバイスでパフォーマンステストとベンチマークを実行していた。しかし、予期せぬことに、このデバイスで検出された複数のメモリアクセス違反を知らせる、一連のセキュリティ警告に注目することになった。
Continue reading “QNAP OS の深刻な脆弱性 CVE-2022-27597/CVE-2022-27598 が FIX:直ちにパッチを!”QNAP warns customers to patch Linux Sudo flaw in NAS devices
2023/03/29 BleepingComputer — 台湾のハードウェア・ベンダーである QNAP は、深刻度の高い Sudo 権限昇格の脆弱性から、Linux 搭載の NAS デバイスを保護するよう顧客に警告している。この脆弱性 CVE-2023-22809 は、Synacktiv のセキュリティ研究者たちにより発見されたものであり、Sudo バージョン 1.9.12p1 における sudoedit 使用時の sudoers ポリシー・バイパスの欠陥として説明されている。
Continue reading “QNAP NAS の脆弱性 CVE-2023-22809:Linux Sudo のポリシー・バイパスに起因”Nearly 30,000 QNAP Devices Exposed Via New Bug
2023/02/01 InfoSecurity — 今週に NAS (Network-Attached Storage) ベンダーの QNAP が公表した新しい脆弱性は、全世界で約 30,000 台のデバイスで悪用される可能性があると、Censys は述べている。Censys がインターネットをスキャンしたところ、QNAP ベースのシステムを実行している 67,415 台のホストが世界中で見つかった。そのうちで、バージョンを確認できたものは僅か 30,250 台であり、また、新しい脆弱性を悪用する攻撃に対して、98% が脆弱だろうという状況が判明した。
Continue reading “QNAP に SQLi の脆弱性 CVE-2022-27596:約3万台のデバイスが危険な状況”QNAP fixes critical bug letting hackers inject malicious code
2023/01/30 BleepingComputer — QNAP が顧客に発しているのは、QNAP NAS デバイスへの悪意のコード注入を、リモートの攻撃者に許す深刻なセキュリティ脆弱性を修正する、QTS/QuTS ファームウェア・アップデートのインストールの警告である。同社によると、この脆弱性 CVE-2022-27596 の深刻度は Critical (CVSS:9.8) であり、QTS 5.0.1/QuTS hero h5.0.1 に影響を与えるという。
Continue reading “QNAP QTS/QuTS の深刻な脆弱性 CVE-2022-27596 が FIX:直ちにパッチ適用を!”QNAP warns of new Checkmate ransomware targeting NAS devices
2022/07/07 BleepingComputer — NAS (Network-attached storage) ベンダーである QNAP が、データ暗号化のランサムウェア Checkmate の攻撃からデバイスを保護するよう、顧客に対してアドバイザリを公開した。このアドバイザリによると、Checkmate の攻撃は、SMB サービスが有効なインターネットに露出した QNAP デバイスと、ブルートフォース攻撃で簡単に解読できる、脆弱なパスワードのアカウントに集中しているとのことだ。
Continue reading “QNAP 警告:新しいランサムウェア Checkmate が NAS を標的にしている”QNAP warns of a critical PHP flaw that could lead to remote code execution
2022/06/22 SecurityAffairs — 台湾のベンダーである QNAP は、QNAP NAS デバイスに影響をおよぼす、PHP の深刻なリモート・コード実行の脆弱性 CVE-2019-11043 (CVSS:9.8) に対処している。この脆弱性の存在により、PHP FastCGI Process Manager (FPM) の特定のコンフィグレーションにおいて、FCGI プロトコルのデータ用に確保されたメモリ領域に関連するバッファ・オーバーフローが発生し、リモートからコードが実行される可能性が生じる。
Continue reading “PHP の深刻な脆弱性 CVE-2019-11043 :QNAP NAS デバイスにリモートコード実行の危険性”QNAP ‘thoroughly investigating’ new DeadBolt ransomware attacks
2022/06/17 BleepingComputer — 金曜日に NAS ベンダーである QNAP は、DeadBolt ランサムウェアによる新たな攻撃キャンペーンから、それぞれのデバイスを保護するよう、顧客に対して再警告を発した。同社は、NAS デバイスのファームウェアを最新バージョンに更新し、インターネットを介したリモートアクセスから遮断することをユーザーに促している。
Continue reading “QNAP の警告:DeadBolt ランサムウェアによる新たな攻撃キャンペーンが始まった?”QNAP asks users to mitigate critical Apache HTTP Server bugs
2022/04/21 BleepingComputer — QNAP NAS デバイスに影響をおよぼす、Apache HTTP Server の脆弱性を悪用しようとする試みを阻止するために、同社は緩和策を適用するよう顧客に要請している。これらの脆弱性 CVE-2022-22721/CVE-2022-23943 は深刻度が 9.8 であり、Apache HTTP Server 2.4.52 以下を実行しているシステムに影響を与える。
Continue reading “QNAP NAP に影響をおよぼす Apache HTTP Server のバグ:緩和策の実施が要請される”QNAP Warns of OpenSSL Infinite Loop Vulnerability Affecting NAS Devices
2022/03/30 TheHackerNews — 今週に台湾の QNAP は、同社の NAS アプライアンスの一部が、先日に公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにした。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べている。
Continue reading “QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX”QNAP warns severe Linux bug affects most of its NAS devices
2022/03/14 BleepingComputer — 台湾のハードウェア・ベンダーである QNAP は、同社の NAS デバイスの大半が、ローカル・アクセスを持つ攻撃者が Linuxの root 権限を取得できる、Dirty Pipe と呼ばれる深刻な脆弱性の影響を受けると警告を発している。この Dirty Pipe バグは、Linux Kernel 5.8 以降のバージョンに影響し、そこには Android デバイスも含まれる。この脆弱性の悪用に成功した非特権ユーザーは、root 権限で実行される SUID プロセスを含む Read Only ファイルにデータを注入し、上書きすることが可能となる。
Continue reading “QNAP 警告:大半の NAS デバイスが Linux の Dirty Pipe 脆弱性の影響を受ける”QNAP works on patches for OpenSSL bugs impacting its NAS devices
2021/08/30 BleepingComputer — 先週のこと、NAS メーカーの QNAP は、OpenSSL によるパッチが適用されたリモートコード実行 (RCE) およびサービス拒否 (DoS) の脆弱性に対処するため、セキュリティ・アップデートの調査と作業を行っている。脆弱性 CVE-2021-3711 CVE-2021-3712 は、QTS / QuTS hero / QuTScloud / HBS 3 Hybrid Backup Sync を実行する QNAP NAS デバイスに影響する。
Continue reading “QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと”
IoT OT Security News 