QNAP

QNAPは先週のPwn2Ownハッキング・コンテストでセキュリティ研究者に悪用された2番目のゼロデイ・バグに対するセキュリティ・パッチをリリースした。

CVE-2024-50387として追跡されているこの重大なSQLインジェクション(SQLi)の脆弱性は、QNAPのSMBサービスに見つかり、現在バージョン4.15.002以降およびh4.15.002以降で修正されています。

このゼロデイ欠陥は、Pwn2Own Ireland 2024でYingMuo氏(DEVCOREインターンシップ・プログラムに参加)がQNAP TS-464 NASデバイスをrootシェルで乗っ取った1週間後に修正されました。

火曜日、同社はHBS 3 Hybrid Backup Sync災害復旧およびデータバックアップソリューションの別のゼロデイを修正し、Pwn2OwnでViettel Cyber Securityのチームがこれを悪用して任意のコマンドを実行し、TS-464 NASデバイスをハッキングした。

チームViettelは4日間の競争の末、Pwn2Ownアイルランド2024で優勝し、70以上のユニークなゼロデイ脆弱性を実証したハッカーに100万ドル以上の賞金が授与された。

QNAPは1週間以内に両方の脆弱性にパッチを適用しましたが、トレンドマイクロのゼロデイ・イニシアチブがコンテスト中に公開されたバグの詳細を発表するまで90日間あるため、ベンダーは通常、Pwn2Ownコンテスト後にセキュリティパッチをリリースするのに時間を要します。

QNAP DEVCORE zero-day

NASデバイスのソフトウェアをアップデートするには、QuTS heroまたはQTSに管理者としてログインし、App Centerで “SMB Service “を検索し、”Update “をクリックします。ソフトウェアがすでに最新である場合、このボタンは使用できません。

QNAPデバイスは一般的に機密性の高い個人ファイルのバックアップや保存に使用されるため、サイバー犯罪者の人気のターゲットとなっているため、迅速にパッチを適用することを強くお勧めします。このため、情報を盗むマルウェアをインストールする格好の標的となっており、被害者にデータを取り戻すために身代金を支払わせる絶好の手段となっています。

例えば、2020年6月、QNAPはPhoto Stationアプリの脆弱性を悪用してQNAP NASデバイスに侵入し、暗号化するeCh0raixランサムウェア攻撃について警告しました

またQNAPは2020年9月、旧バージョンで脆弱なPhoto Stationを実行している一般公開されたNASデバイスを標的にしたAgeLockerランサムウェア攻撃についても顧客に警告しました。2021年6月、eCh0raix(QNAPCrypt)は既知の脆弱性を悪用し、脆弱なパスワードを使用してNASアカウントをブルートフォースする新たな攻撃を仕掛けてきました。

QNAPデバイスを標的としたその他の最近の攻撃には、DeadBoltCheckmateeCh0raixランサムウェアキャンペーンがあり、インターネットに露出したNASデバイスのデータを暗号化するために、さまざまなセキュリティ脆弱性を悪用しました。