台湾を拠点とする QNAP によって製造された 29,000 ものネットワーク ストレージ デバイスは、簡単に実行できるハッキングに対して脆弱であり、インターネット上の認証されていないユーザーが完全に制御できるようになると、セキュリティ会社が警告しています。
可能性のある 10 段階中 9.8 の重大度評価を持つ脆弱性は、月曜日に QNAP がパッチを発行し、ユーザーにそれをインストールするよう促したときに明らかになりました。 CVE-2022-27596 として追跡されているこの脆弱性により、リモートのハッカーが SQL インジェクション (構造化照会言語を使用する Web アプリケーションを標的とする攻撃の一種) を実行できるようになります。 SQL インジェクションの脆弱性は、特別に細工された文字またはスクリプトを検索フィールド、ログイン フィールド、またはバグのある Web サイトの URL に入力することによって悪用されます。 インジェクションにより、データの変更、窃取、削除、または脆弱なアプリを実行しているシステムに対する管理制御の取得が可能になります。
月曜日の QNAP のアドバイザリでは、5.0.1.2234 より前の QTS バージョンおよび h5.0.1.2248 より前の QuTS Hero バージョンを実行しているネットワーク接続ストレージ デバイスは脆弱であると述べています。 この投稿には、パッチを適用したバージョンに更新するための手順も記載されていました。
火曜日、セキュリティ会社 Censys は、ネットワーク スキャン検索から収集されたデータが、29,000 台もの QNAP デバイスがまだ CVE-2022-27596 に対するパッチが適用されていない可能性があることを示したと報告しました。 研究者は、インターネットに接続された 30,520 台のデバイスのうち、実行中のバージョンを示していたものの、パッチが適用されていたのは 557 台 (約 2%) だけだったことを発見しました。 全体で、Censys は 67,415 の QNAP デバイスを検出したと述べています。 29,000 という数字は、2% のパッチ レートをデバイスの総数に適用することによって推定されました。
「Deadbolt ランサムウェアが特に QNAP NAS デバイスを標的とするように設計されていることを考えると、エクスプロイトが公開された場合、同じ犯罪者がそれを使用して同じランサムウェアを再び拡散する可能性が非常に高い」と Censys の研究者は書いています。 「エクスプロイトが公開されて兵器化された場合、何千人もの QNAP ユーザーに問題を引き起こす可能性があります。」
Censys の担当者は電子メールで、水曜日の時点で 30,475 台の QNAP デバイスがバージョン番号を示していることを発見し (火曜日より 45 台少ない)、そのうち 29,923 台が CVE-2022-27596 に対して脆弱なバージョンを実行していると述べました。
Deadbolt への言及は、QNAP デバイスの以前の脆弱性を悪用して、その名前を使用するランサムウェアに感染させた、過去 1 年間の一連のハッキング キャンペーンを指しています。 最新のキャンペーン ウェーブの 1 つが 9 月に発生し、Photo Station として知られる独自機能を使用するデバイスの脆弱性である CVE-2022-27593 を悪用しました。 この脆弱性は、別の領域のリソースへの外部制御参照として分類されました。
火曜日の Censys レポートによると、CVE-2022-27596 に対して脆弱なデバイスは米国で最も多く、イタリアと台湾がそれに続きます。
Censys は、次の内訳も提供しています。
| 国 | 合計ホスト | 脆弱でないホスト | 脆弱なホスト |
| アメリカ | 3,271 | 122 | 3,149 |
| イタリア | 3,239 | 39 | 3,200 |
| 台湾 | 1,951人 | 9 | 1,942 |
| ドイツ | 1,901 | 20 | 1,881 |
| 日本 | 1,748 | 34 | 1,714 |
| フランス | 1,527 | 69 | 1,458 |
| 香港 | 1,425 | 3 | 1,422 |
| 韓国 | 1,313 | 2 | 1,311 |
| イギリス | 1,167 | 10 | 1,157 |
| ポーランド | 1,001 | 17 | 984 |
過去に QNAP は、ハッキングされる可能性を下げるために、ユーザーが次のすべての手順に従うことを推奨しています。
- ルーターのポートフォワーディング機能を無効にしてください。
- NAS で myQNAPcloud をセットアップして、安全なリモート アクセスを有効にし、インターネットへの露出を防ぎます。
- NAS ファームウェアを最新バージョンに更新します。
- NAS 上のすべてのアプリケーションを最新バージョンに更新します。
- NAS 上のすべてのユーザー アカウントに強力なパスワードを適用します。
- スナップショットを作成し、定期的にバックアップしてデータを保護してください。
Bleeping Computer が報告したように、QNAP デバイスは長年にわたってハッキングに成功し、Muhstik、eCh0raix/QNAPCrypt、QSnatch、Agelocker、Qlocker、DeadBolt、および Checkmate を含む他のランサムウェア株に感染しています。 これらのデバイスのユーザーは、今すぐ行動を起こすことをお勧めします。