QSA-22-24
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-24の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 :2022年9月3日
- セキュリティID : QSA-22-24
- 重大度 :クリティカル
- CVE識別子 : CVE-2022-27593
- 影響を受ける製品:インターネットに公開されている Photo Station を実行する特定の QNAP NAS
- ステータス:解決済
概要
QNAPは2022年9月3日午前中(GMT+8)、新たなDeadBoltランサムウェアキャンペーンを検出しました。このキャンペーンは、インターネットに公開されているPhoto Stationを実行しているQNAP NASデバイスを標的にしているようです。
次のバージョンで脆弱性は既に修正されています。
- QTS 5.0.1: Photo Station 6.1.2 以降
- QTS 5.0.0/4.5.x: Photo Station 6.0.22 以降
- QTS 4.3.6: Photo Station 5.7.18 以降
- QTS 4.3.3: Photo Station 5.4.15 以降
- QTS 4.2.6: Photo Station 5.2.14 以降
勧告
NAS を DeadBolt ランサムウェアから保護するために、QNAP は次の手順に従って QNAP NAS デバイスとルーターを保護することを強くお勧めします。
- ルーターのポートフォワーディング機能を無効にしてください。
- NAS で myQNAPcloud をセットアップして、安全なリモート アクセスを有効にし、インターネットへの公開を防ぎます。
- NAS ファームウェアを最新バージョンに更新します。
- NAS 上のすべてのアプリケーションを最新バージョンに更新します。
- NAS 上のすべてのユーザー アカウントに強力なパスワードを適用します。
- スナップショットを作成し、定期的にバックアップしてデータを保護してください。
NAS での myQNAPcloud のセットアップ
- 管理者として QTS にログオンします。
- myQNAPcloud を開きます。
- UPnP ポート転送を無効にします。
- 自動ルーター構成に移動し ます。
- [UPnP ポートフォワーディングを有効にする] の選択を解除し ます。
- DDNS を有効にします。
- My DDNSに移動し ます。
- トグル ボタンをクリックして My DDNSを有効にします。
- NAS サービスを公開しないでください。
- 公開サービスに移動し ます。
- [公開] の下にあるすべてのアイテムの選択を解除します 。
- [適用]をクリックします。
- myQNAPcloud Link を構成して、SmartURL 経由で NAS への安全なリモート アクセスを有効にします。
- myQNAPcloud リンクに移動し ます。
- [インストール] をクリックして、NAS に myQNAPcloud Link をインストールします。
- トグル ボタンをクリックして myQNAPcloud Linkを有効にします。
- SmartURL 経由で NAS にリモート アクセスできるユーザーを制限します。
- アクセスコントロールに移動し ます。
- [デバイス アクセス コントロール]の横に ある [プライベート] または [カスタマイズ]を選択します 。
注: [プライベート] を選択する と、myQNAPcloud にログインしている QNAP ID のみが SmartURL 経由で NAS にアクセスできます。カスタマイズ を選択 すると、他の QNAP ID アカウントを招待して SmartURL 経由でデバイスにアクセスすることができます。 - [カスタマイズ] を選択した場合は 、[追加] をクリック し、QNAP ID を指定してユーザーを招待します。
- 概要に移動して SmartURL を取得し ます。
myQNAPcloud の使用に関する質問については、https://support.myqnapcloud.com/ にアクセスしてください。
QTS の更新
- 管理者として QTS にログオンします。
- [コントロール パネル] > [システム] > [ファームウェアの更新]に移動し ます。
- [ライブ更新]で 、[更新の確認] をクリック します。
QTS は、利用可能な最新の更新をダウンロードしてインストールします。
ヒント: QNAP Web サイトから更新をダウンロードすることもできます。[サポート] > [ダウンロード センター] に移動し、特定のデバイスの手動更新を実行します。
すべてのアプリケーションの更新
- 管理者として QTS にログオンします。
- App Centerを開き ます。
- ウィンドウの右上隅にある[更新をインストール] を見つけ ます。
- [すべて] をクリックします。
確認メッセージが表示されます。 - [OK]をクリックします。
QTS はすべてのアプリケーションの最新バージョンをインストールします。
Photo Stationの更新
- 管理者としてQTSにログオンします。
- App Centerを開き、をクリックします。
検索ボックスが表示されます。 - 「Photo Station」と入力し、Enterキーを押します。
Photo Stationが検索結果に表示されます。 - [更新]をクリックします。
確認メッセージが表示されます。
注:バージョンがすでに最新の場合、[更新]ボタンは使用できません。 - [OK]をクリックします。
アプリケーションが更新されます。
改定履歴:
V1.0 (2022 年 9 月 3 日) - 公開
V1.1 (2022 年 9 月 8 日) - CVE ID の割り当て