QNAPは、QVR Proアプリケーションの重大な脆弱性について緊急のセキュリティアドバイザリーを発表し、遠隔攻撃者が影響を受けたシステムへの完全なアクセスを取得できる可能性があると警告しています。
この脆弱性はCVE-2026-22898として追跡され、ZDI-CAN-28327としても識別されており、2026年3月21日にアドバイザリーQSA-26-07の下で公開されました。
QVR Proは、企業や組織全体に展開されている広く使用されているネットワークビデオ監視ソリューションで、物理的な環境を監視するために使用されています。
監視データの機密性の高い性質のため、そのようなシステムの侵害は深刻なセキュリティとプライバシーの影響をもたらす可能性があります。QNAPはこの問題を重大として分類し、管理者に直ちにパッチを適用するよう促しています。
この脆弱性はFuzzingLabsのセキュリティ研究者によって発見され、責任を持って報告されました。
アドバイザリーによると、この問題の根本原因はQVR Proアプリケーションの主要な機能内における認証チェックの欠落にあります。
セキュアなシステムでは、認証メカニズムによって、認可されたユーザーのみが特権アクションを実行できることを保証します。
しかし、このケースでは、適切な検証がないため、攻撃者は認証を完全に回避することができます。
特別に細工されたネットワークリクエストを送信することで、遠隔攻撃者はこの脆弱性を悪用して、有効なログイン認証情報を提供することなく、システムと直接対話することができます。
これは事実上コアなシステム機能への不正アクセスを許可し、非常に危険な脆弱性となっています。
この問題はQVR Proバージョン2.7.xに特に影響します。成功した悪用は深刻な結果をもたらす可能性があります。
攻撃者はライブ監視フィードにアクセスし、機密のリアルタイム監視データを露出させる可能性があります。
また、カメラの設定を操作したり、監視カバレッジを無効にしたり、保存されたビデオ録画を削除して悪意のあるアクティビティの証拠を消去する可能性もあります。
監視アプリケーション自体を超えて、より広い影響はさらに懸念されています。QNAPデバイスはしばしばネットワーク接続ストレージ(NAS)システムとして使用され、重大なビジネスデータを保存し、エンタープライズネットワークに深く統合されています。
一度侵害されると、攻撃者は感染したシステムをさらなる攻撃のエントリーポイントとして使用する可能性があります。
このような拠点から、脅威の行為者はネットワーク全体にわたる横方向の移動を試み、追加のサーバーとシステムをターゲットにする可能性があります。
これはデータ流出、機密データベースへの不正アクセス、またはビジネス運営を中断させるランサムウェアの配備につながる可能性があります。
そのようなシナリオでは、単一の脆弱な監視システムが本格的なネットワーク侵害にエスカレートする可能性があります。
この問題に対処するため、QNAPは修正をリリースしており、脆弱性は現在解決済みとしてマークされています。
QVR Proを使用している組織は、リスクを軽減するためにバージョン2.7.4.1485以降にアップグレードすることを強くお勧めします。
管理者はQTSまたはQuTS heroインターフェースを通じて更新を適用できます。App CenterにアクセスしてクVR Proを検索することで、ユーザーは更新プロセスを開始できます。
更新ボタンを選択して確認すると、システムは自動的にパッチ適用されたバージョンをダウンロードしてインストールします。更新オプションが表示されない場合、システムはすでにセキュアなリリースを実行しています。
この脆弱性の重大な性質と物理的およびネットワークセキュリティの両方に対する潜在的な影響を考えると、組織は悪用を防ぐためにパッチを優先させ、遅延なく対応すべきです。
翻訳元: https://cyberpress.org/qnap-qvr-pro-flaw/