サイバーセキュリティ企業のwatchTowrはこのほど、「QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)」において、QNAPのNAS(Network Attached Storage)から複数の脆弱性を発見したと報じた。これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。
-
QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)
脆弱性の概要
発見された脆弱性のうち、4件については次のWebサイトで情報が公開されている。
発見された脆弱性の情報(CVE)は次のとおり。
- CVE-2023-50361、CVE-2023-50362、CVE-2023-50364 - 入力サイズを確認しないバッファーコピーの脆弱性
- CVE-2023-50363 - 不正な認証の脆弱性
- CVE-2024-21902 - 不正な認証の脆弱性
- CVE-2024-27127 - utilRequest.cgiに多重解放の脆弱性
- CVE-2024-27128 - utilRequest.cgiにスタックオーバーフローの脆弱性
- CVE-2024-27129 - utilRequest.cgiに静的バッファーオーバーフローの脆弱性
- CVE-2024-27130 - share.cgiにスタックオーバーフローの脆弱性
- CVE-2024-27131 - ログスプーフィングの脆弱性
脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されていない脆弱性の情報は次のとおり。
- WT-2023-0050 - 複雑な問題。詳細は非公開
- WT-2024-0004 - リモートsyslogメッセージ経由の蓄積型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
- WT-2024-0005 - リモートデバイス経由の蓄積型クロスサイトスクリプティング(XSS)の脆弱性
- WT-2024-0006 - 認証APIにレート制限がない脆弱性
- WT-2024-00XX - 詳細は非公開
脆弱性が存在する製品
CVE-2023から始まる4件の脆弱性が存在するとされる製品およびバージョンは次のとおり。
- QTS 5.1.x
- QuTS hero h5.1.x
脆弱性が修正された製品
CVE-2023から始まる4件の脆弱性を修正した製品およびバージョンは次のとおり。
- QTS 5.1.6.2722 build 20240402およびこれ以降のバージョン
- QuTS hero h5.1.6.2734 build 20240414およびこれ以降のバージョン
脆弱性が与える影響
発見された脆弱性の一部については、悪用困難な概念実証(PoC: Proof of Concept)コードが「GitHub - watchtowrlabs/CVE-2024-27130: PoC for CVE-2024-27130」にて公開されている。このPoCコードは悪用を防ぎながら脆弱性を実証し、情報を共有するものとされる。
-
PoCコードを実行して管理者権限のシェルを取得する例 引用:watchTowr
該当製品を運用している管理者には速やかなファームウェアアップデートが推奨されている。なお、修正されていない脆弱性の一部についてはベンダーの確認が取れており、修正中とみられている。
最後に、watchTowrはこれら脆弱性の情報を修正パッチ公開前に開示した理由について説明している。その概要は次のとおり。
残りの脆弱性(修正された4件以外)は長期間経っても修正されていない。脆弱性の影響を受けるシステムは運用を停止するか、修正パッチが利用可能になるまでアクセス制限する必要がある。watchTowrはベンダーが問題に対応するための業界標準となる90日間(脆弱性開示プログラムの指定)を遵守している。脅威グループがすでに同じ脆弱性を発見し、密かに悪用している可能性がある。以上が公表する決断を下した理由だ。
watchTowrは上記のようにQNAPの対応の遅さを指摘し、ユーザーによる防衛を可能にするために情報開示したと説明している。修正されていない脆弱性の影響範囲は不明だが、少なくとも「QTS 5.1.x」および「QuTS hero h5.1.x」は影響を受けると推測される。これら製品を運用している管理者には、運用を停止するか、修正パッチが利用可能になるまでアクセス制限を実施することが推奨される。
