QNAP Systemsは1月30日(米国時間)、「Vulnerability in QTS and QuTS hero - Security Advisory|QNAP」において、QNAPの複数のプロダクトに複数の脆弱性が存在すると伝えた。この脆弱性は対処済み(Resolved)とされている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従って対処することが望まれる。
この脆弱性は、QTS 5.0.1およびQuTS hero h5.0.1を実行しているQNAPデバイスが影響を受けるとされており、悪用された場合は遠隔から攻撃者によって悪意のあるコードが注入されるリスクがあるとされている。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 5.0.1.2234 build 20221201およびこれ以降のバージョン
- QuTS hero h5.0.1.2248 build 20221215およびこれ以降のバージョン
修正対象となっている脆弱性に関する情報(CVE)は次のとおり。
- CVE-2022-27596
修正対象となっている脆弱性はCVEの特定で1つで、深刻度は緊急(Critical)とされていることから注意が必要。提供されている情報に従って迅速に対応するとともに、QNAPから提供されるセキュリティ情報に合わせて対処することが望まれる。
QNAPは脆弱性の影響を低減するために、システムを定期的に最新のバージョンへアップデートして修正を適用していくことを推奨している。