台湾拠点のQNAP Systemsは週末にかけて、製品ポートフォリオ全体で2ダースの脆弱性に対するパッチを公開しました。その中には、Pwn2Own Ireland 2025ハッキングコンペティションで実証された7件の脆弱性も含まれています。
これらのうち2件(CVE-2025-62840およびCVE-2025-62842)はTeam DDOSによって実証されました。コンテスト初日、同チームはQNAPルーターおよびNASデバイスに影響を与える合計8件の脆弱性を連鎖させたエクスプロイトで10万ドルの報酬を獲得しました。
QNAPは、これらのバグを解決するためにHBS 3 Hybrid Backup Syncバージョン26.2.0.938をリリースしました。ベンダーは、アップデート後にすべてのパスワードを変更することを推奨しています。
他の3件の欠陥(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)は、DEVCOREの研究者によって、インジェクション脆弱性とフォーマット文字列バグを連鎖させたエクスプロイトの一部として実証され、4万ドルのバグ報奨金を獲得しました。
QNAPは、QTS 5.2.7.3297 build 20251024、QuTS hero h5.2.7.3297 build 20251024、およびQuTS hero h5.3.1.3292 build 20251024でこれらの脆弱性を修正しました。
週末には、ベンダーはMalware Removerにおける任意コード実行につながる重大なコードインジェクション問題(CVE-2025-11837)への修正も発表しました。
CyCraft Technologyの研究者Chumy Tsaiは、QNAP TS-453E NASデバイス上でこの欠陥を実証し、エクスプロイトで2万ドルの報酬を獲得しました。QNAPはMalware Removerバージョン6.6.8.20251023でこの脆弱性を修正しました。
QNAPはまた、Summoning Teamの研究者Sina KheirkhahがPwn2Ownで実証したHyper Data Protectorの重大な問題(CVE-2025-59389)にもパッチを提供しました。
この研究者は、ハードコードされた認証情報の問題とインジェクション脆弱性を連鎖させてQNAP TS-453E NASを侵害し、2万ドルを獲得しました。QNAPはこのバグを解決するためにHyper Data Protectorバージョン2.2.4.1をリリースしました。
さらに、ベンダーはQuMagie、Download Station、File Station 5、Notification Center、Qsync Central、QuLog Centerにおける複数の脆弱性にも修正を提供しました。これらは任意コード実行、情報漏洩、セキュリティ機構の回避、サービス拒否(DoS)攻撃に悪用される可能性があります。
QNAPは、これらの脆弱性が実際に悪用されたという言及はしていませんが、QNAPの脆弱性は脅威アクターに人気の標的であるため、できるだけ早くパッチを適用するようユーザーに推奨しています。追加情報はQNAPのセキュリティアドバイザリページで確認できます。
翻訳元: https://www.securityweek.com/qnap-patches-vulnerabilities-exploited-at-pwn2own-ireland/
