QNAP製NASの脆弱性狙うランサムウェア「eCh0raix」に注意

あらたに公開されたアドバイザリでは、同OSに含まれるファイル管理ツール「File Station」に関する「コマンドインジェクション」の脆弱性「CVE-2018-19949」や、「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2018-19943」「CVE-2018-19953」を解消したことを明らかにした。

いずれもCVE番号の割り当ては2018年12月だが、修正済みとなるバージョンは、「同4.4.1.1261 build 20200330」「同4.3.6.1263 build 20200330」「同4.3.4.1282 build 20200408」「同4.3.3.1252 build 20200409」「同4.2.6 build 20200421」およびこれ以降としており、2020年3月末から4月にかけて修正が行われている。

アップデートとアドバイザリのリリース時期にずれがあり、CVE番号も前後するなど、ユーザーにとってわかりにくい状況となっている。同社製の「NAS」や「Photo Station」を利用している場合は、利用機器の最新ファームウェアをしっかり確認し、アップデート漏れが生じないよう注意が必要となる。

（Security NEXT - 2020/06/09 ） ツイート

PR

関連記事

まもなくGWの長期休暇 - セキュリティ対策の確認を
先週注目された記事（2025年4月13日〜2025年4月19日）
ランサムウェアへの対処を学ぶカードゲーム - JC3が無償公開
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
先週注目された記事（2025年3月2日〜2025年3月8日）
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
先週注目された記事（2025年2月23日〜2025年3月1日）
先週注目された記事（2025年2月16日〜2025年2月22日）
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
ランサム攻撃グループ「8Base」関係者が逮捕 - 400社以上が標的