複数のQNAP NASを一元管理するための中央管理プラットフォームとして「QNAP Q'center」を使っているのであれば、アップデートを確認してみよう。Shielderが「Shielder - QNAP Q'center Post-Auth Remote Code Execution via QPKG」において、QNAP Q'centerに遠隔からコード実行が可能な脆弱性が存在すると発表した。

  • Shielder - QNAP Q'center Post-Auth Remote Code Execution via QPKG

    Shielder - QNAP Q'center Post-Auth Remote Code Execution via QPKG

「QNAP Q'center」はQPKGと呼ばれるパッケージのインストールができるようになっている。QPKGを使うことで誰でも簡単にパッケージのインストールやアンインストールが可能だ。Shielderの研究者はQPKGパッケージファイルがexit 10で終了するスクリプトとそれに続くtar.gzアーカイブで構成されており、このシェルスクリプトの部分を書き換えることで任意のコマンドを実行できると指摘した。ShielderはQNAP Q'center Virtual Appliance version 1.12.1014でこの脆弱性を確認したと報告している。

本稿執筆時点で概念実証(PoC: Proof of Concept)は公開されていないが、Shielderは後日概念実証をGitHubで公開するとしており注意が必要。概念実証が公開されたら、この脆弱性の悪用が広まるおそれがある。Shielderが問題をQNAPに報告した後、QTSにパッチを適用したことから、この脆弱性はQ'centerのみならずQTSにも影響があるのではないかとも指摘されている。

該当するプロダクトを使用している場合、QNAPから提供されるセキュリティアドバイザリやアップデート情報をチェックするとともに、アップデートが提供された場合は迅速に対応を取ることが望まれる。