有名な NAS メーカーである QNAP は、同社のネットワーク製品に XNUMX つの非常に危険な脆弱性と、Windows 用 VPN デバイス クライアントに別の脆弱性を報告しました。 隙間を通った遠隔攻撃が可能です - 適切なパッチが利用可能です。
QNAP が発表した脆弱性は、ネットワーク製品内で使用される多くのアプリケーションに影響を与えます。 このサービスは、中小企業部門向けの大規模 NAS システムでも動作します。 したがって、個人的に使用される小型の NAS システムやカメラに加えて、多くの企業製品もセキュリティ ギャップの影響を受けます。
DoS攻撃によるリモート乗っ取りが可能
QNAP は、制御されていないリソース消費に関連する脆弱性がいくつかの QNAP オペレーティング システムに影響を与えると報告しています。 この脆弱性が悪用されると、リモート ユーザーがサービス拒否 (DoS) 攻撃を開始する可能性があります。 この脆弱性は CVE-2022-27600 としてリストされています。 正確な CVSS 値は不明ですが、非常に危険な場合は 7.0 ~ 8.9 の範囲内である必要があります。
この脆弱性は、更新可能な次のバージョンですでに修正されています。
- QTS 5.0.1.2277 ビルド 20230112 以降
- QTS 4.5.4.2280 ビルド 20230112 以降
- QuTS ヒーロー h5.0.1.2277 ビルド 20230112 以降
- QuTS ヒーロー h4.5.4.2374 ビルド 20230417 以降
- QuTScloud c5.0.1.2374 ビルド 20230419 以降
- QVR プロ アプライアンス 2.3.1.0476 以降
QVPN デバイス クライアントの別の脆弱性
さらに、QNAP は Windows 用 QVPN Device Client の脆弱性を報告しています。 この脆弱性は、CVE-2022-27595 でも非常に危険であると考えられています。 そこでは、ライブラリのロードは安全ではなく、Windows 用 QVPN デバイス クライアントを実行しているデバイスに影響を与える可能性があります。 この脆弱性が悪用されると、ローカルで認証されたユーザーがライブラリを安全にロードせずにコードを実行できる可能性があります。 macOS、Android、iOS 用の QVPN デバイス クライアントは、この脆弱性の影響を受けません。
このギャップに対するアップデートも提供されています。
Windows 用 QVPN デバイス クライアント、バージョン 2.0.0.1316 以降
詳細については QNAP.com をご覧ください