🛡 概要
QNAPは、Pwn2Own Ireland 2025で研究者により実証・悪用されたNAS向けゼロデイ脆弱性7件に対し、QTS/QuTS heroおよび複数アプリの修正を公開しました。影響対象はQTS/QuTS hero(CVE-2025-62847/62848/62849)、Hyper Data Protector(CVE-2025-59389)、Malware Remover(CVE-2025-11837)、HBS 3 Hybrid Backup Sync(CVE-2025-62840/62842)です。別途、QuMagieの重大なSQLi(CVE-2025-52425)も修正済みです。現時点で個々のCVSS値は公表されていませんが、遠隔からの不正実行につながる可能性があり、至急の更新とパスワード変更が推奨されます。
🔍 技術詳細
今回のゼロデイは、NASのWeb管理面やバックアップ系アプリに存在する入力検証不備や権限境界の欠陥が中心とみられます。Pwn2Ownでは、Summoning Team、DEVCORE、Team DDOS、CyCraftのインターンによって、事前未公開の欠陥が実演され、通常はHTTP/HTTPS経由の特殊なリクエストで脆弱なコンポーネント(例:HBS 3、Hyper Data Protector、Malware Remover、OS層のサービス)に到達、任意コード実行(RCE)やコマンド注入、認可回避につながるチェーンが構築されます。Webアプリ層のインジェクションが初期侵入(Initial Access)に用いられた後、攻撃者はNAS上でシェルを取得し、永続化のために自動起動スクリプトやタスクを改変し、さらに共有フォルダ・スナップショット・バックアップ宛先へアクセスする可能性があります。実際、前年のPwn2Own 2024ではHBSのOSコマンド注入(CVE-2024-50388)とSMBサービスのSQLi(CVE-2024-50387)が公表されており、QuMagieのCVE-2025-52425も重大なSQLiとして遠隔の不正コード/コマンド実行につながり得ます。なお、Pwn2Own由来の技術詳細は公開までの猶予があり、個別の脆弱性の完全な攻撃手順は現時点で非公開です。
QNAPが示した修正版は以下の通りです:Hyper Data Protector 2.2.4.1以降、Malware Remover 6.6.8.20251023以降、HBS 3 Hybrid Backup Sync 26.2.0.938以降、QTS 5.2.7.3297 build 20251024以降、QuTS hero h5.2.7.3297 build 20251024以降、QuTS hero h5.3.1.3292 build 20251024以降。OS更新は管理者でログインし[コントロールパネル > システム > ファームウェア更新 > Live Updateで更新確認]、アプリはApp Centerで対象名を検索し[更新]を実行します。QNAPは全パスワードの変更も推奨しています。
⚠ 影響
- 機密データの窃取・改ざん:共有フォルダ、バックアップ先、スナップショットが標的。
- ランサムウェア横展開:NASはバックアップの要であり暗号化被害が連鎖しやすい。
- バックアップ信頼性の毀損:復旧時に改ざん・欠落のリスク。
- 業務停止・法令順守違反:可用性低下と個人情報保護規制違反の懸念。
CVSS:2025年の新規CVE(CVE-2025-xxxx)はベンダーの詳細公表待ち。CVE-2024-50388/50387の定量スコアは公表情報を確認のこと。
🛠 対策
- 至急アップデート:上記バージョン以降に更新。更新後は再起動・動作確認。
- 資格情報のローテーション:全アカウントのパスワード変更、APIトークン・アプリパスワード再発行、不要アカウント削除、多要素認証の有効化。
- インターネット公開の最小化:NAS管理面は直公開せず、VPN/ゼロトラスト越しに限定。
- 不要サービス停止:未使用のQPKG/プロトコル(SSH/Telnet/UPnP/QuFTP/rsync等)を無効化。
- バックアップ防御:オフライン/イミュータブル・スナップショット、3-2-1ルール、復旧手順の演習。
- WAF/リバプロ導入:App Center/管理GUIへの入力検証を補完し異常トラフィックを遮断。
📌 SOC視点
- Webアクセスログ:qhttpd/Apache/Nginx/リバースプロキシの異常なPOST/PUT、長大パラメータ、予期せぬエンドポイント(/hbs/、/qumagie/、/MalwareRemover/、/hyper-data-protector/など)。
- プロセス監視:webサーバ(qhttpd, php-fpm)直下からのsh/bash/busybox、curl/wget、nc、pythonの起動、crontab・autorunの変更。
- ファイル改変:.qpkg配下(例:/share/CACHEDEV*_DATA/.qpkg/HBS_3/, /QuMagie/)の新規バイナリ・PHPファイル、権限の異常。
- 認証イベント:短時間での多回数ログイン失敗→成功、管理者パスワード変更、未知の新規ユーザー作成。
- ネットワーク:外向きに新規確立されるC2様の通信、SMB/NFS経由の横展開。
- 検知例:条件(親プロセス=php-fpm|qhttpd)AND(子プロセス=sh|bash|busybox|curl|wget)/HTTP 500の急増と同一送信元の散発的URI探索。
📈 MITRE ATT&CK
- TA0001 Initial Access – T1190 Exploit Public-Facing Application:Web管理面やアプリ(HBS 3、QuMagie等)へのインジェクション/RCEに合致。
- TA0002 Execution – T1059 Command and Scripting Interpreter:コマンド注入(CVE-2024-50388の前例、QuMagie SQLi経由のコード実行)。
- TA0003 Persistence – T1505.003 Server Software Component: Web Shell:Web経由でシェル/バックドアを設置する可能性。
- TA0004 Privilege Escalation/TA0005 Defense Evasion – T1548 Abusing Elevation Control Mechanism 等:権限昇格や検知回避のための設定改変が想定。
- TA0010 Exfiltration – T1041 Exfiltration Over C2 Channel:共有データの外部送信。
根拠:Pwn2OwnでのWeb面ゼロデイ実演、前年のOSコマンド注入/SQLi(CVE-2024-50388/50387)およびQuMagieのSQLi(CVE-2025-52425)の性質から、公開アプリ悪用→コード実行→永続化の一連の流れが妥当。
🏢 組織規模別助言
- 〜50名(小規模):自動更新を有効化。NASの管理ポートはVPN配下のみ。週次でApp Center更新確認とバックアップ復元テスト。
- 50〜500名(中規模):リバースプロキシ+WAFでNAS管理面を保護。AD/IdP連携でMFA必須化。Syslog集中管理、Sigma/SIEMルールで前述のプロセス生成検知を整備。
- 500名以上(大規模):資産管理にNASを明確化し例外承認制。ネット分離/マイクロセグメンテーションでバックアップネットを隔離。SOARでパッチ適用・資格情報ローテーションを一括自動化。定期レッドチームでNAS侵害シナリオを演習。
🔎 類似事例
- CVE-2024-50388(HBS 3のOSコマンド注入)
- CVE-2024-50387(SMBサービスのSQLi)
- QuMagieのSQLi:CVE-2025-52425(重大・遠隔実行の可能性)
- QSnatchマルウェア(2019–2020、QNAP NASを標的)
🧭 次の一手
- 対象NAS/アプリのバージョンとCVE該当性を即時棚卸し、全て修正版へ更新。
- 全アカウントのパスワード変更・MFA化・不要アカウント削除を実施。
- インターネット公開の停止(リモートはVPN/ゼロトラスト経由)とWAF適用。
- SIEMへWeb/プロセス/認証/ネットワークの可視化ダッシュボードを実装し、前述の検知ロジックを適用。
- バックアップのイミュータブル化と復元ドリルの実施。
