QNAP、Pwn2Ownで実証されたNAS向けソフトウェアのゼロデイを修正（CVE-2024-50388）

QNAP、Pwn2Ownで実証されたNAS向けソフトウェアのゼロデイを修正（CVE-2024-50388）

BleepingComputer – October 29, 2024

QNAPは29日にセキュリティアドバイザリを公開。NASデバイス向けソリューションHBS 3 Hybrid Backup Syncに存在するゼロデイ脆弱性に対処した。

Pwn2Own Ireland 2024でのNASデバイスTS-464に対するハッキングにおいてエクスプロイトが実証されたこの欠陥（CVE-2024-50388）は、HBS 3 Hybrid Backup Syncのバージョン25.1シリーズに影響を与えるOSコマンドインジェクションの脆弱性。これが悪用された場合、リモートの攻撃者に任意のコマンド実行を許す恐れがあるという。QNAPは、HBS 3 Hybrid Backup Sync 25.1.1.673以降のバージョンで同脆弱性を修正した。

機微な個人ファイルが保存されていることから、QNAP製のデバイスはランサムウェアグループに狙われることが多い。

Pwn2Ownコンテストが終了した後、トレンドマイクロのゼロデイイニシアティブがコンテスト中にデモ・公開されたセキュリティバグの詳細を公表するまでに90日の猶予期間があることを踏まえ、ベンダーは通常セキュリティパッチのリリースに時間をかける傾向があるが、今回の修正は当該脆弱性が実証されてからたった5日で行われた。

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠