QTSのマルウェアに関するセキュリティアドバイザリ
本内容はQNAPが発表したセキュリティアドバイザリ NAS-201902-13 の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2019年2月13日
- セキュリティID : NAS-201902-13
- 重要度 : 高
- CVE識別子 : N/A
- 影響を受けるプロダクト :
以下のファームウェアバージョンを搭載したQNAP NAS
QTS 4.2.6 build 20181227 およびそれ以前
QTS 4.3.3 build 20190102 およびそれ以前
QTS 4.3.4 build 20190102 およびそれ以前
QTS 4.3.6 build 20181228 およびそれ以前
サマリー
以前に報告されたマルウェアは、影響を受けたQNAP NASによるQTSのアップデートの検出、Malware Removerのインストール、他のアプリケーションのアップデートを防ぎます。
次のQTSバージョンで組み込みのセキュリティメカニズムを強化しました。この機能強化により、QTSはマルウェアを無効にすることができます。
- QTS 4.3.6: QTS 4.3.6 build 20190328 およびそれ以降
- QTS 4.3.4: QTS 4.3.4 build 20190322 およびそれ以降
- QTS 4.3.3: QTS 4.3.3 build 20190322 およびそれ以降
- QTS 4.2.6: QTS 4.2.6 build 20190322 およびそれ以降
推奨
この脆弱性を悪用されることを避けるため以下を実行してください
- QTSを手動で最新バージョンに更新します。
- NASにインストールされたすべてのアプリケーションを最新版に更新します。
(フォースメディア追記)
NAS上で仮想マシンやコンテナを実行している場合、アップデートにより仮想マシンが停止しますので、事前に仮想マシンのシャットダウンやバックアップ等、必要な措置を実施してください。
NAS上で仮想マシンやコンテナを実行している場合、アップデートにより仮想マシンが停止しますので、事前に仮想マシンのシャットダウンやバックアップ等、必要な措置を実施してください。
警告:NASデバイスがすでに感染している場合は、QTSとすべてのNASアプリケーションをアップデートしてもマルウェアが完全に削除されるわけではありません。QNAPは現在削除ソリューションに取り組んでおり、公開され次第このアドバイザリを更新する予定です。
QTSアップデートの手動インストール
- QTSに管理者としてログインします。
- コントロールパネル > システム > システムステータス に進みます。
システムインフォメーションが表示されます。 - モデル名とファームウェアバージョンをメモします。
- ブラウザから https://www.qnap.com/download にアクセスします。
- デバイスモデルを選択します。
ダウンロードリストが表示されます。 - 「オペレーティングシステム」をクリックします。
- 注記にある をクリックしてリリースノートを確認します。
- ダウンロードリンクであなたの地域をクリックします。
ZIPファイルがダウンロードされます。 - ZIPファイルを解凍します。
- QTSで コントロールパネル > システム > ファームウェア更新 に進みます。
「ライブ更新」の画面が表示されます。 - 「ファームウェア更新」をクリックします。
- 記載されている内容を確認して下さい。「参照」をクリックするとファイルブラウザが表示されます。
- QTSアップデートを選択します。
- 「システムの更新」をクリックします。
QTSアップデートがインストールされます。
すべてのNASアプリケーションの更新
- QTSに管理者としてログインします。
- App Centerを開きます。
- ウィンドウ右上の角にある「更新をインストール」を見つけます。
- 「すべて」をクリックすると確認メッセージが表示されます。
- 「OK」をクリックするとQTSがすべてのアプリケーションを更新します。
(フォースメディア追記) NASがインターネット接続環境にない場合は手動アップデートを行ってください。
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
Revision History :
V1.1 (April 19, 2019) - 更新 (影響を受けるプロダクト、サマリー、推奨)
V1.0 (February 13, 2019) - 公開