QNAP は、リモートの攻撃者が QNAP NAS デバイスに悪意のあるコードを挿入できるようにする重大なセキュリティの脆弱性を修正する QTS および QuTS ファームウェアの更新をインストールするようお客様に警告しています。
この脆弱性は CVE-2022-27596 として追跡されており、同社によって「重大」(CVSS v3 スコア: 9.8) と評価されており、オペレーティング システムの QTS 5.0.1 および QuTS hero h5.0.1 バージョンに影響を与えます。
「QTS 5.0.1 および QuTS hero h5.0.1 を実行している QNAP デバイスに影響を与える脆弱性が報告されています。この脆弱性を悪用すると、リモートの攻撃者が悪意のあるコードを挿入できるようになります」と、 QNAP セキュリティ アドバイザリは警告しています。
ベンダーは脆弱性やその悪用の可能性について多くの詳細を開示していませんが 、NIST ポータルはそれを SQL インジェクションの欠陥と説明しています。
SQL インジェクションの欠陥により、攻撃者は脆弱なデバイスに特別に細工されたリクエストを送信して、正当な SQL クエリを変更し、予期しない動作を実行することができます。
さらに、QNAP は脆弱性の重大度を説明する JSON ファイルをリリースしました。これは、リモート攻撃者による複雑さの低い攻撃で悪用可能であることを示しており、ユーザーの操作や標的のデバイスでの権限は必要ありません。
QNAP は、QTS および QuTS hero で実行されているユーザーのデバイスを安全に保つために、次のバージョンにアップグレードする必要があると述べています。
- QTS 5.0.1.2234 ビルド 20221201 以降
- QuTS ヒーロー h5.0.1.2248 ビルド 20221215 以降
更新を実行するには、管理者ユーザーとしてデバイスにログインし、 [コントロール パネル] → [システム] → [ファームウェアの更新]に移動します。
[ Live Update ] セクションで、[ Check for Update ] オプションをクリックし、ダウンロードとインストールが完了するまで待ちます。
または、QNAP ユーザーは、正しい製品タイプとモデルを選択し、デバイスに手動で適用した後、 QNAP のダウンロード センターから更新をダウンロードすることもできます。
QNAP のアドバイザリでは、CVE-2022-27596 が実際に積極的に悪用されているとはマークしていません。
ただし、脅威アクターは積極的に QNAP の脆弱性を標的にしているため、脆弱性の深刻さから、ユーザーは利用可能なセキュリティ更新プログラムをできるだけ早く適用することをお勧めします。
QNAP デバイスはすでに、 DeadBoltおよびeCh0raixとして知られる進行中のランサムウェア キャンペーンの標的になっています。これらは脆弱性を悪用して、露出した NAS デバイスのデータを暗号化することが知られています。
Comments