JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月22日、「JVNVU#95429813: QNAP製ネットワークビデオレコーダー製品における複数の脆弱性」において、QNAP Systemsのネットワークビデオレコーダー「QNAP NVR VioStarシリーズ」に複数の脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、リモートの攻撃者によって対象のシステムに不正ログインされたり、任意のコマンドを実行されたりするなどの被害を受ける可能性がある。

報告されている脆弱性は次の2件。

  • CVE-2021-38685: Command Injection Vulnerability in QVR
  • CVE-2021-38686: Improper Authentication Vulnerability in QVR

CVE-2021-38685はコマンドインジェクションの脆弱性で、悪用されるとリモートから任意のコマンドを実行される危険性がある。CVE-2021-38686は不適切な認証に起因する脆弱性で、悪用されると攻撃者によってシステムに不正ログインされる危険性がある。

いずれの脆弱性も、2021年11月26日にリリースされたQVR 5.1.6 build 20211109以降のバージョンにアップデートすることで影響を回避できる。詳細はそれぞれQNAPによる次のセキュリティアドバイザリにまとめられている。

  • Command Injection Vulnerability in QVR

    Command Injection Vulnerability in QVR

  • Improper Authentication Vulnerability in QVR

    Improper Authentication Vulnerability in QVR

QNAPからは、脆弱性を修正したファームウェアの最新版「QVR 5.1.6 build 20211109」がリリースされており、JPCERT/CCはQNAPの提供する情報に基づいてアップデートを適用することを推奨している。