概要:QNAP NetBak PC Agentに影響するASP.NET Coreの重大な脆弱性
QNAPは、同社のWindows向けバックアップユーティリティ「NetBak PC Agent」に影響を与える、ASP.NET Coreの重大な脆弱性(CVE-2025-55315)について顧客に警告を発しました。この脆弱性は、Kestrel ASP.NET Coreウェブサーバーで発見されたセキュリティバイパスの欠陥であり、低い権限を持つ攻撃者がHTTPリクエストスマグリングを介して他のユーザーの認証情報を乗っ取ったり、フロントエンドのセキュリティ制御を回避したりすることを可能にします。
QNAPは、「NetBak PC Agentはセットアップ中にMicrosoft ASP.NET Coreコンポーネントをインストールし、それに依存します。したがって、システムが更新されていない場合、NetBak PC Agentを実行しているコンピューターには影響を受けるバージョンのASP.NET Coreが含まれている可能性があります」と述べています。
脆弱性の詳細と潜在的影響
追跡番号CVE-2025-55315が割り当てられたこの脆弱性は、ASP.NET CoreウェブサーバーのKestrelに存在します。Microsoftの.NETセキュリティ技術プログラムマネージャーであるBarry Dorrans氏が説明したように、この脆弱性はASP.NET Coreのセキュリティ欠陥として「過去最高の」深刻度評価を受けています。
攻撃者は、低い権限でHTTPリクエストスマグリングを利用し、以下の行為を行う可能性があります。
- 他のユーザーの認証情報を乗っ取る(権限昇格)
- クロスサイトリクエストフォージェリ(CSRF)チェックを回避する
- インジェクション攻撃を実行する
- 機密データへの不正アクセス
- サーバーファイルの改ざん
- 限定的なサービス拒否(DoS)状態を引き起こす
QNAPからの推奨事項と対策
QNAPは、システムを潜在的な攻撃から保護するために、ユーザーに以下のいずれかの対策を講じるよう強く推奨しています。
- NetBak PC Agentアプリを再インストールする:これにより、最新のASP.NET Coreランタイムコンポーネントが取得されます。
- ASP.NET Coreを手動で更新する:.NET 8.0ダウンロードページから最新のASP.NET Core Runtime (Hosting Bundle)をダウンロードしてインストールします。
QNAPは、ユーザーがWindowsシステムに最新のMicrosoft ASP.NET Coreアップデートがインストールされていることを確認するよう強く推奨しています。
過去のセキュリティ更新情報
今年1月には、QNAPはHBS 3 Hybrid Backup Sync 25.1.xにおけるrsyncの脆弱性に対処するためのセキュリティアップデートもリリースしています。これらの脆弱性は、パッチが適用されていないNASデバイス上でリモート攻撃者が悪意のあるコードを実行することを可能にするものでした。