QNAP

QNAP は、パッチが適用されていない Network Attached Storage (NAS) デバイス上で攻撃者にリモート・コード実行を許す可能性のある 6 つの rsync 脆弱性を修正した。

Rsyncはオープンソースのファイル同期ツールで、デーモン経由の直接ファイル同期、SSH経由の転送、時間と帯域幅を節約する増分転送をサポートします。

Rclone、DeltaCopy、ChronoSyncのような多くのバックアップ・ソリューションや、クラウド、サーバー管理業務、公開ファイル配布などで広く使われている。

欠陥は、CVE-2024-12084(ヒープバッファオーバーフロー)、CVE-2024-12085(未初期化スタックによる情報リーク)、CVE-2024-12086(サーバーが任意のクライアントファイルをリーク)、CVE-2024-12087(–inc-recursiveオプションによるパストラバーサル)、CVE-2024-12088(–safe-linksオプションのバイパス)、CVE-2024-12747(シンボリックリンクの競合状態)として追跡されている。

QNAPによると、これらは同社のデータバックアップおよびディザスタリカバリソリューションであるHBS 3 Hybrid Backup Sync 25.1.xに影響しローカル、リモート、およびクラウドストレージサービスをサポートするという。

木曜日に発表されたセキュリティ勧告でQNAPは、HBS 3 Hybrid Backup Sync 25.1.4.952でこれらの脆弱性に対処したと述べ、顧客にソフトウェアを最新バージョンにアップデートするよう助言した。

NASデバイスのHybrid Backup Syncインストールをアップデートするには、以下の手順が必要です:

  1. QTSまたはQuTS heroに管理者としてログオンします。
  2. App Centerを開き、HBS 3 Hybrid Backup Syncを検索します。
  3. HBS 3 Hybrid Backup Syncが検索結果に表示されるまで待ちます。
  4. 更新]を クリックし、フォローアップの確認メッセージで [OK]を クリックします。

これらのRsyncの欠陥は、リモートでのシステム侵害につながる悪用チェーンを作成するために組み合わせることができます。攻撃者が必要とするのは、脆弱なサーバへの匿名読み取りアクセスのみです。

「最初の2つの脆弱性(ヒープバッファオーバーフローと情報リーク)を組み合わせると、Rsyncサーバーが動作しているデバイス上でクライアントが任意のコードを実行できるようになる」と、1週間前にrsync 3.4.0がセキュリティ修正とともにリリースされた際にCERT/CCは警告した。

「このクライアントは、公開ミラーのようなサーバーへの匿名読み取りアクセスのみを必要とします。さらに、攻撃者は悪意のあるサーバーを制御し、接続されたクライアントの任意のファイルを読み書きすることができる。

Shodanの検索によると、rsyncサーバーが公開されているIPアドレスは70万を超える。しかし、これらのセキュリティ脆弱性を悪用する攻撃を成功させるには、有効な認証情報または匿名接続用に設定されたサーバーが必要であるため、そのうちのいくつがこれらのセキュリティ脆弱性を悪用する攻撃に対して脆弱であるかは不明である。