QNAPは、同社のネットワーク接続ストレージ(NAS)デバイスへのデータバックアップ用WindowsユーティリティであるNetBak PC Agentにも影響を及ぼす、重大なASP.NET Coreの脆弱性について、顧客にパッチ適用を警告しました。
「QNAPは、Windowsシステムに最新のMicrosoft ASP.NET Coreアップデートがインストールされていることを強く推奨します。」
潜在的な攻撃からシステムを保護するため、QNAPユーザーは、NetBak PC Agentアプリを再インストールして最新のASP.NET Coreランタイムコンポーネントを取得するか、.NET 8.0ダウンロードページから最新のASP.NET Core Runtime(Hosting Bundle)をダウンロード・インストールして手動でASP.NET Coreを更新することが推奨されています。
.NETセキュリティ技術プログラムマネージャーのBarry Dorransが2週間前に説明したように、Microsoftがこの脆弱性(ASP.NET Coreのセキュリティ脆弱性として「過去最高」の重大度とされたもの)にパッチを適用した際、CVE-2025-55315攻撃の影響はターゲットとなるASP.NETアプリケーションによって異なります。
攻撃が成功すると、攻撃者は他のユーザーとしてログイン(権限昇格)したり、クロスサイトリクエストフォージェリ(CSRF)チェックを回避したり、インジェクション攻撃を実行したりすることが可能になります。
「もし攻撃が成功した場合、認証済みの攻撃者は特別に細工したHTTPリクエストをウェブサーバーに送信し、機密データへの不正アクセス、サーバーファイルの改ざん、または限定的なサービス拒否(DoS)状態を引き起こす可能性があります」とQNAPは付け加えました。
1月には、QNAPは同社のデータバックアップおよび災害復旧ソリューションであるHBS 3 Hybrid Backup Sync 25.1.xにおいて、パッチ未適用のネットワーク接続ストレージ(NAS)デバイス上でリモート攻撃者が悪意のあるコードを実行できる可能性のある、6件のrsync脆弱性に対するセキュリティアップデートもリリースしています。
