QNAP Systemsは2月3日(現地時間)、QNAPの複数のプロダクトに脆弱性が存在すると発表した。これら脆弱性はすでに修正されている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従ってアップデートすることが望まれている。脆弱性に関する情報は次のサイトから確認可能。

Vulnerability in QTS, QuTS hero and QuTScloud - Security Advisory | QNAP

Vulnerability in Qsync Central - Security Advisory | QNAP

Vulnerability in QTS, QuTS hero and QuTScloud - Security Advisory|QNAP

○脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

QTS 5.1.x

QTS 4.5.x

QuTS hero h5.1.x

QuTS hero h4.5.x

QuTScloud 5.x

Qsync Central 4.4.x

Qsync Central 4.3.x

○脆弱性が修正された製品

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

QTS 5.1.4.2596 build 20231128およびこれ以降のバージョン

QTS 4.5.4.2627 build 20231225およびこれ以降のバージョン

QuTS hero h5.1.4.2596 build 20231128およびこれ以降のバージョン

QuTS hero h4.5.4.2626 build 20231225およびこれ以降のバージョン

QuTScloud c5.1.5.2651およびこれ以降のバージョン

Qsync Central 4.4.0.15 (2024/01/04)およびこれ以降のバージョン

Qsync Central 4.3.0.11 (2024/01/11)およびこれ以降のバージョン

○脆弱性に関する情報

修正対象となっている脆弱性に関する情報(CVE)は次のとおり。

CVE-2023-45025 - OSコマンドインジェクションの脆弱性。この脆弱性が悪用されると、システムが特定の設定になっている場合にネットワーク経由でコマンドを実行される可能性がある

CVE-2023-47564 - 重要なリソースに対する不正な権限割り当ての不具合。この脆弱性が悪用されると認証された攻撃者によりネットワーク経由でリソースの読み取りや変更の可能性がある

○推奨される対策

修正対象となっている脆弱性の深刻度は最も高いもので緊急(Critical)と評価されており注意が必要。QNAP Systemsから提供されている情報を確認し、該当のシステムまたはサービスを最新バージョンにアップデートすることが望まれている。