Source: https://www.securityweek.com/qnap-netbak-pc-agent-affected-by-recent-asp-net-core-vulnerability/
🛡 概要
台湾のQNAPシステムズは、NetBak PC Agentが最近開示されたASP.NET Coreの脆弱性の影響を受ける可能性があると発表しました。この脆弱性は、オープンソースのWeb開発フレームワークにおいて「過去最高」のCVSSスコア9.9を記録しています。CVE-2025-55315として追跡されているこのバグは、HTTPリクエストスムージングの欠陥であり、攻撃者がネットワーク上のセキュリティ制御を回避したり、他のユーザーの認証情報をハイジャックすることを可能にします。
🔍 技術詳細
この脆弱性は、Microsoftによって2025年10月のパッチ火曜日に修正されました。マイクロソフトは、この脆弱性が機密情報を漏洩させたり、ファイル内容を改ざんしたり、サーバーをクラッシュさせる可能性があると警告しています。実際の影響は、アプリケーションの構築方法に依存し、攻撃者が他のユーザーとしてログインしたり、CSRFチェックを回避したり、内部リクエストを行ったり、インジェクション攻撃を実行することを可能にします。QNAPによれば、NetBak PC Agentはインストール時にASP.NET Coreコンポーネントを依存しており、更新されていないシステム上で脆弱なバージョンのフレームワークが動作する可能性があります。
⚠ 影響
NetBak PC Agentは、ユーザーがコンピュータやサーバーの内容をQNAP NASシステムにバックアップし、必要に応じてシステムを復元できるWindowsアプリケーションです。したがって、CVE-2025-55315の成功した悪用は、バックアップデータへのアクセスを許可する可能性があり、非常に深刻な結果をもたらす可能性があります。QNAPは、ASP.NET Coreのパッチを直ちに適用するようユーザーに呼びかけており、エージェントを再インストールするか、最新のフレームワークバージョンを手動でダウンロードしてインストールすることを推奨しています。
🛠 対策
QNAPのNetBak PC Agentを使用しているユーザーは、まずエージェントの最新バージョンを確認し、必要に応じてアップデートを行うことが重要です。また、ASP.NET Coreのパッチを適用することで、脆弱性の悪用を防ぐことができます。具体的には、QNAPの公式サイトから最新のフレームワークをダウンロードし、インストールすることが推奨されます。これにより、セキュリティリスクを軽減し、重要なデータを保護することが可能になります。
