Trusted Design

CVE-2020-2509 の詳細

CVEの情報

説明:
A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later

CVE更新日: 2021-04-17 04:15:11.327000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-04-11

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.839580000

EPSS更新日: 2026-06-01 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2020-2509に関する脆弱性の調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2020-2509は、QNAPのQTSおよびQuTS heroソフトウェアに影響を与えるコマンドインジェクションの脆弱性です。不適切な入力検証に起因し、攻撃者がシステム上で任意のコマンドを実行できる可能性があります。

1.1 影響

この脆弱性が悪用されると、攻撃者はリモートでコードを実行し(RCE)、システムの完全な乗っ取り、機密データへの不正アクセス、データ窃盗、ランサムウェアの展開、およびサービスの停止につながる可能性があります。 機密性、完全性、可用性に対して高い影響があります。

1.2 深刻度

CVSS v3.1スコアは9.8であり、深刻度は「Critical(緊急)」と評価されています。 QNAPもこの脆弱性を「Critical」と分類しています。 この脆弱性は、CISAの既知の悪用されている脆弱性リストにも追加されており、実際に悪用されていることが知られています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

QNAPのネットワーク接続ストレージ (NAS) デバイス上で動作するQTSおよびQuTS heroオペレーティングシステムが影響を受けます。 具体的な影響バージョンは以下の通りです。

  • QTSバージョン:
    • 4.5.2.1566 Build 20210202より前のバージョン
    • 4.5.1.1495 Build 20201123より前のバージョン
    • 4.3.6.1620 Build 20210322より前のバージョン
    • 4.3.4.1632 Build 20210324より前のバージョン
    • 4.3.3.1624 Build 20210416より前のバージョン
    • 4.2.6 Build 20210327より前のバージョン
  • QuTS heroバージョン:
    • h4.5.1.1491 build 20201119より前のバージョン

2.2 影響を受ける設定

この脆弱性は、不適切な入力検証に起因するソフトウェアの欠陥であり、特定の「設定」が脆弱性につながるわけではありません。攻撃はネットワーク経由で可能であり、認証やユーザーの操作は不要で、攻撃の複雑度は低いとされています。

3. 影響を受けた時の兆候

システムが侵害された兆候として、不正なファイル、スケジュールされたタスク、または不審なネットワーク接続などが挙げられます。

4. 推奨対策

4.1 本対策

ベンダーの指示に従い、速やかにセキュリティアップデートを適用してください。 以下のバージョン以降にアップグレードすることで、この脆弱性は修正されます。

  • QTS 4.5.2.1566 Build 20210202 以降
  • QTS 4.5.1.1495 Build 20201123 以降
  • QTS 4.3.6.1620 Build 20210322 以降
  • QTS 4.3.4.1632 Build 20210324 以降
  • QTS 4.3.3.1624 Build 20210416 以降
  • QTS 4.2.6 Build 20210327 以降
  • QuTS hero h4.5.1.1491 build 20201119 以降

4.2 暫定回避策(緩和策)

パッチの即時適用が難しい場合は、以下の緩和策を検討してください。

  • 脆弱なシステムへのアクセスを制限するために、ネットワーク制御を実装する。
  • パッチが適用されるまで、脆弱なQNAP NASデバイスをインターネットから切断する。
  • 管理インターフェースへのアクセスを信頼できるIPアドレスのみに制限するネットワークアクセス制御を導入する。
  • QNAP NASデバイスで実行されている不要なサービスを見直し、無効にする。
  • 設定強化策を実装して、攻撃対象領域を減らし、全体的なセキュリティ体制を強化する。

他に解説すべき観点

  • CISAのKnown Exploited Vulnerabilitiesカタログへの掲載: この脆弱性は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)のKnown Exploited Vulnerabilitiesカタログに掲載されています。これは、攻撃者がこの脆弱性を活発に悪用していることを意味し、迅速な対処が不可欠であることを示しています。
  • 攻撃ベクトル: この脆弱性は、ネットワーク経由で悪用可能です。攻撃の複雑度は低く、特別な権限やユーザーの操作は不要であるため、非常に悪用しやすい性質を持っています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る