QNAP製NASの脆弱性狙うランサムウェア「eCh0raix」に注意

あらたに公開されたアドバイザリでは、同OSに含まれるファイル管理ツール「File Station」に関する「コマンドインジェクション」の脆弱性「CVE-2018-19949」や、「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2018-19943」「CVE-2018-19953」を解消したことを明らかにした。

いずれもCVE番号の割り当ては2018年12月だが、修正済みとなるバージョンは、「同4.4.1.1261 build 20200330」「同4.3.6.1263 build 20200330」「同4.3.4.1282 build 20200408」「同4.3.3.1252 build 20200409」「同4.2.6 build 20200421」およびこれ以降としており、2020年3月末から4月にかけて修正が行われている。

アップデートとアドバイザリのリリース時期にずれがあり、CVE番号も前後するなど、ユーザーにとってわかりにくい状況となっている。同社製の「NAS」や「Photo Station」を利用している場合は、利用機器の最新ファームウェアをしっかり確認し、アップデート漏れが生じないよう注意が必要となる。

（Security NEXT - 2020/06/09 ） ツイート

PR

関連記事

まもなくGW - 長期休暇に備えてセキュリティ対策の再確認を
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
先週注目された記事（2024年3月3日〜2024年3月9日）
先週の注目記事（2024年2月25日〜2024年3月2日）
ランサムウェア「ALPHV」、医療分野中心に被害拡大