更新:一部の QNAP ネットワーク接続ストレージ デバイスは、認証されていないリモート コード実行を可能にする脆弱性と、任意のファイルへの書き込み機能を提供する脆弱性の 2 つにより、攻撃に対して脆弱です。
これらの脆弱性は、台湾に拠点を置くQNAP社には2020年10月12日に、そしてコネクテッドホームセキュリティ企業SAM Seamless Network社によって2020年11月29日に公表されました。これらの脆弱性はQNAP TS-231の最新ファームウェア(バージョン4.3.6.1446)に発見されました。SAM社は2020年9月29日にリリースされたと主張していますが、QNAPのウェブサイトでは2020年10月7日と記載されており、異なるビルド番号を示している可能性があります。
「私たちはQNAP社に両方の脆弱性を報告し、修正のための4ヶ月の猶予期間を設けました」と、SAMの組み込みソフトウェアセキュリティ研究者であるヤニフ・プイエスキ氏は水曜日のブログ投稿で述べた。「残念ながら、この記事の公開時点では、脆弱性はまだ修正されていません。」
データ窃取、パスワード収集、バックドア開放を行うQNAP NASマルウェアが6万2000件の感染で猛威を振るう
続きを読む
しかし木曜日、QNAPはTS-231ファームウェアバージョン4.3.6.1620をリリースしました。これは、コマンドインジェクション脆弱性(CVE-2020-2509)とApache HTTPサーバーの脆弱性(CVE-2020-9490)に対処しています。リリースノートには、セキュリティ上の懸念から「Wi-Fiアドホックモード」のサポートが削除されたことも記載されています。
コマンドインジェクションの脆弱性 (CVE-2020-2509) は、SAM が報告した脆弱性の 1 つです。
ThreatPost によると、もう 1 つは CVE-2021-36195 に指定されているが、QNAP のリリース ノートには記載されていない。
QTS 4.5.2.1566 (ビルド 20210202) および QTS 4.5.1.1495 (ビルド 20201123) より前のファームウェアを実行している現在の非レガシー ハードウェアもリモート コード実行バグに対して脆弱である可能性があり、必要に応じて QTS 4.5.2.1566 (ZIP) または QTS 4.5.1.1495 (ZIP) でパッチを適用する必要があります。
Puyeski 氏によると、2 つの脆弱性はそれぞれ NAS ウェブ サーバーと DLNA (Digital Living Network Alliance) サーバーで発見されたとのこと。SAM が脆弱性の詳細を公表しなかったのは、インターネットに公開されている QNAP デバイスが数万台に上るためだと Puyeski 氏は述べた。
NASウェブサーバーのバグは、QNAP NASデバイスが認証を必要とせずサーバー側でコードを実行するウェブページを実装しているという過去の観察に基づき、様々なCGIファイルに対するファジング(プログラム的にデータを挿入する)によって特定されました。セキュリティ企業の研究者は、他のプロセスで特定の動作を誘導することで、間接的にリモートコード実行を誘発できることを発見しました。
NAS のバグを解決するには、「いくつかのコアプロセスとライブラリ API に入力サニタイズを追加する」必要があると Puyeski 氏は述べた。
プロセスを介してポート 8200 で UPNP 要求を処理する DLNA サーバーの問題はmyupnpmediasvr、リモートの攻撃者がサーバーを使用して任意のファイルを書き込むことができることです。
ThreatPost は、この欠陥は QNAP のメディア サーバー アプリである Multimedia Console 1.3.4 の更新バージョンで修正されていると主張しているが、この更新ではセキュリティ修正については一切触れられていない。
QNAPはコメント要請に直ちには応じなかった。SAMも問い合わせに回答しなかった。®
追加更新
「現状では、NASオペレーティングシステムの主流バージョンに対して修正パッチをリリース済みです」とQNAPは遅ればせながらThe Regに語った。
しかし、これらの脆弱性の深刻度が高いため、旧バージョンへの修正適用については、現在も昼夜を問わず作業を進めています。情報を適切に公開できるまでには、さらに時間(約1週間)がかかります。また、ユーザーを攻撃から保護するため、大多数のユーザーが修正済みバージョンにアップデートしたことが確認できるまで、関連情報を公開しません。
