innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

QNAPがNASデバイスの脆弱性に対応、ユーザーへ更新推奨

QNAPがNASデバイスの脆弱性に対応、ユーザーへ更新推奨 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-29 08:33 by admin

台湾のQNAP社は、同社のネットワーク接続ストレージ(NAS)アプライアンスに影響を与える中程度の重大性を持つ複数の脆弱性に対する修正を展開しました。これらの脆弱性は、QTS 5.1.xおよびQuTS hero h5.1.xに影響を及ぼし、認証されたユーザーがネットワーク経由でコード実行を達成する可能性があります。対象となる脆弱性は以下の通りです。

– CVE-2024-21902: 重要なリソースに対する不正な権限割り当ての脆弱性。認証されたユーザーがネットワーク経由でリソースを読み取ったり変更したりすることを可能にする。
– CVE-2024-27127: ダブルフリーの脆弱性。認証されたユーザーがネットワーク経由で任意のコードを実行することを可能にする。
– CVE-2024-27128, CVE-2024-27129, CVE-2024-27130: バッファオーバーフローの脆弱性のセット。認証されたユーザーがネットワーク経由で任意のコードを実行することを可能にする。

これらの脆弱性は、NASデバイス上で有効なアカウントが必要であり、QTS 5.1.7.2770ビルド20240520およびQuTS hero h5.1.7.2770ビルド20240520で対処されました。Aliz Hammond氏(watchTowr Labs所属)が2024年1月3日にこれらの脆弱性を発見し報告しました。

QNAPは、CVE-2024-27130脆弱性が「strcpy」関数の安全でない使用によって引き起こされると述べ、これはNASユーザーがQNAPデバイスからファイルを共有する際に使用されるshare.cgiスクリプト内のget_file_sizeリクエストによって使用されるNo_Support_ACL関数によって利用されます。この脆弱性を悪用するには、攻撃者は有効な’ssid’パラメータが必要です。

また、QNAPは、QTS 4.xおよび5.xバージョンすべてにアドレス空間配置のランダム化(ASLR)が有効になっているため、攻撃者がこの脆弱性を悪用することが困難であることを指摘しました。

さらに、QNAPはCVE-2024-27131について、これは実際の脆弱性ではなく、QuLog Center内のUI仕様の変更を必要とする設計上の選択であると述べ、QTS 5.2.0で修正される予定であるとしました。

QNAPは、過去にNASデバイスの脆弱性がランサムウェア攻撃者に悪用されたことから、ユーザーに対し、潜在的な脅威を軽減するために可能な限り早くQTSおよびQuTS heroの最新バージョンに更新することを推奨しています。

【ニュース解説】

台湾のQNAP社が、同社のネットワーク接続ストレージ(NAS)アプライアンスに影響を及ぼす一連の中程度の重大性を持つ脆弱性に対して修正パッチを展開しました。これらの脆弱性は、認証されたユーザーがネットワーク経由でコードを実行する可能性があるというもので、QTSおよびQuTS heroの特定バージョンに影響を及ぼします。修正された脆弱性には、不正な権限割り当て、ダブルフリー、バッファオーバーフローが含まれており、これらはすべて有効なアカウントを持つユーザーによって悪用される可能性があります。

これらの脆弱性の修正は、QNAPのセキュリティ対策の重要性を浮き彫りにしています。特に、NASデバイスは多くの企業や個人にとって重要なデータを保存するための中心的な役割を果たしているため、セキュリティの脆弱性は深刻なデータ漏洩や悪意ある攻撃への道を開く可能性があります。QNAPが提供するパッチを迅速に適用することは、潜在的なセキュリティリスクを軽減し、データの安全を保護する上で不可欠です。

また、QNAPがアドレス空間配置のランダム化(ASLR)を有効にしていることは、攻撃者が脆弱性を悪用することをより困難にする重要なセキュリティ機能です。ASLRは、攻撃者が予測可能なメモリアドレスにコードを注入することを防ぐことで、セキュリティを強化します。

しかし、QNAPがCVE-2024-27131を「実際の脆弱性ではなく設計上の選択」として扱っていることは、セキュリティコミュニティとのコミュニケーションや認識の齟齬を示している可能性があります。このような齟齬は、将来的にセキュリティ対策の改善やユーザーとの信頼関係構築に影響を及ぼす可能性があります。

QNAPの対応は、セキュリティ研究者との連携の重要性を強調しています。セキュリティ研究者からの報告に迅速かつ適切に対応することは、脆弱性を効果的に管理し、ユーザーのデータを保護するために不可欠です。また、この事例は、企業がセキュリティ対策を継続的に強化し、最新の脅威に対応するための体制を整えることの重要性を示しています。

最終的に、QNAPのこの一連の脆弱性とその修正は、セキュリティが常に進化する脅威に対して動的に対応する必要があること、そして企業、セキュリティ研究者、ユーザー間の協力がセキュリティ保護の鍵であることを示しています。ユーザーにとっては、常にシステムを最新の状態に保ち、提供されるセキュリティアップデートを適用することが、セキュリティリスクを最小限に抑える上で最も効果的な方法です。

from QNAP Patches New Flaws in QTS and QuTS hero Impacting NAS Appliances.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » QNAPがNASデバイスの脆弱性に対応、ユーザーへ更新推奨

Latest News