QNAP Systemsは3月9日(現地時間)、QNAPの複数の製品に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性はすべて修正済みとされている。該当するプロダクトを使用しているかを確認するとともに、製品を使用している場合は説明されている内容に従って対処することが望まれる。修正対象の脆弱性に関する情報は次のページにまとまっている。
- Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud - Security Advisory | QNAP
- Multiple Vulnerabilities in jackson-databind - Security Advisory | QNAP
- Vulnerability in Network & Virtual Switch - Security Advisory | QNAP
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- QTS 5.1.x
- QTS 4.5.x
- QuTS hero h5.1.x
- QuTS hero h4.5.x
- QuTScloud c5.x
- myQNAPcloud 1.0.x
- QuMagie Mobile 2.2.x for Android
脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 5.1.4.2596 build 20231128およびこれ以降のバージョン
- QTS 4.5.4.2627 build 20231225およびこれ以降のバージョン
- QuTS hero h5.1.4.2596 build 20231128およびこれ以降のバージョン
- QuTS hero h4.5.4.2626 build 20231225およびこれ以降のバージョン
- QuTScloud c5.1.5.2651およびこれ以降のバージョン
- myQNAPcloud 1.0.52 (2023/11/24)およびこれ以降のバージョン
- QuMagie Mobile for Android 2.2.0.0126およびこれ以降のバージョン
脆弱性の詳細
修正された脆弱性に関する情報(CVE)は次のとおり。
- CVE-2024-21899 - 不適切な認証の脆弱性。この脆弱性を悪用されるとネットワーク経由でシステムのセキュリティを侵害される可能性がある
- CVE-2024-21900 - インジェクションの脆弱性。この脆弱性を悪用されると認証された攻撃者によりネットワーク経由でコマンドを実行される可能性がある
- CVE-2024-21901 - SQLインジェクションの脆弱性。この脆弱性を悪用されると認証された攻撃者によりネットワーク経由で悪意のあるコマンドを注入される可能性がある
- CVE-2022-42003、CVE-2022-42004 - FasterXML/jackson-databindにおけるリソース枯渇の脆弱性
- CVE-2020-36518 - FasterXML/jackson-databindにおけるスタックオーバーフローまたはサービス拒否の脆弱性
- CVE-2021-46877 - FasterXML/jackson-databindにおけるサービス拒否の脆弱性
- CVE-2023-32969 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
推奨される対策
修正された脆弱性の中で最も高い深刻度は緊急(Critical)と評価されており注意が必要。QNAPはこれら脆弱性を修正するために、公開している更新手順に従ってファームウェアおよび当該アプリケーションをアップデートすることを推奨している。