QNAPは、広く展開されているネットワークビデオ監視ソリューションであるQVR Proアプリケーションに影響する重大な脆弱性に関する緊急セキュリティアドバイザリーをリリースしました。
2026年3月21日に開示され、セキュリティアドバイザリー識別子QSA-26-07で追跡されているこの深刻なセキュリティ欠陥により、不正なリモート攻撃者が脆弱なシステムへの完全なアクセスを取得できる可能性があります。
この脆弱性は公式にはCVE-2026-22898として追跡され、セキュリティサークルではZDI-CAN-28327としても知られています。
監視システムは本質的に機密性の高いデータを処理し、物理的なセキュリティ環境を監視するため、管理者はハードウェアインフラストラクチャとより広いネットワーク境界の両方を保護するためにこのパッチを優先する必要があります。
この欠陥は、FuzzingLabsのセキュリティ研究者によって最初に発見され、QNAPに責任を持って報告されました。
QNAP QVR Proの欠陥
この重大なセキュリティ問題の核は、QVR Proソフトウェアアーキテクチャ内の重要なアプリケーション機能の認証チェックの欠落に由来しています。
標準的なセキュアな運用では、ソフトウェアはユーザーが高度なシステムコマンドを実行する前に厳格な本人確認を必要とします。
この特定の欠陥はそれらの重要なセキュリティチェックを完全にバイパスします。悪意のある行為者は特別に細工されたネットワークリクエストを送信することで、この弱点を悪用し、有効なユーザー名やパスワードを提供することなく、コアシステムと直接やり取りすることができます。
この重大度の高い脆弱性は、QVR Pro 2.7.xを実行しているシステムに影響します。
成功した悪用の運用上の影響は、監視アプリケーション自体を超えて大幅に拡がります。
攻撃者が不正なシステムアクセスを取得すると、プライベートなリアルタイム監視フィードを表示したり、カメラの設定を変更したり、自分の足跡を隠すために保存されたビデオアーカイブを完全に削除する可能性があります。
さらに、QNAPネットワーク接続ストレージデバイスは膨大な量の企業の専有データを保有することが多く、エンタープライズネットワーク内に深く統合されています。
侵害されたQVR Pro インストールは、企業環境への初期エントリーポイントとして簡単に兵器化される可能性があります。
その足がかりから、悪意のある行為者は他の接続されたサーバーに侵入しようとしたり、機密データベースを盗んだり、組織全体にランサムウェアを展開しようとするかもしれません。
幸いなことに、QNAP開発者は最新のソフトウェアロールアウトで既に脆弱性に対処しており、この欠陥のステータスは公式に解決済みとマークされています。
影響を受けたソフトウェアを利用している組織は、リモート攻撃から完全に保護するために、すぐにQVR Proバージョン2.7.4.1485以降にアップグレードする必要があります。
必要な修正を適用するには、管理者は管理者認証情報を使用してQTSまたはQuTS heroインターフェースにログインし、App Centerを起動する必要があります。
そこから、ユーザーは検索ボックスを使用してQVR Proアプリケーションを見つけることができます。アプリケーション名の横にある更新ボタンをクリックし、確認プロンプトで「OK」を選択すると、インストールが承認されます。
その後、システムはセキュアなリリースを自動的にダウンロードして適用します。管理者は、App Centerに更新ボタンが表示されない場合、システムは既に最新で安全なバージョンを実行していることに注意する必要があります。
翻訳元: https://gbhackers.com/critical-qnap-qvr-pro-flaw/
