QNAP NetBak PC Agentに重大な脆弱性
QNAPのNetBak PC Agentソフトウェアに、Microsoft ASP.NET Coreの重大な欠陥を介して影響を及ぼす深刻なセキュリティ脆弱性が発見されました。この脆弱性はCVE-2025-55315として追跡されており、HTTPリクエストスマグリング技術を悪用して重要なセキュリティ制御をバイパスし、数千ものバックアップ依存システムを不正アクセスやデータ操作に晒す可能性があります。
脆弱性の詳細
- CVE ID: CVE-2025-55315
- 脆弱性の種類: HTTPリクエストスマグリング (CWE-444)
- 影響を受けるコンポーネント: Microsoft ASP.NET Core
- CVSSスコア: 8.1 (高)
脆弱性の概要と影響
この欠陥は、ASP.NET CoreのHTTPリクエスト処理メカニズムに存在し、認証された攻撃者が特別に設計されたリクエストを作成してウェブサーバーのセキュリティ処理を混乱させることを可能にします。悪用されると、攻撃者は影響を受けるシステムに保存されている機密データへのアクセス、重要なサーバーファイルの改ざん、またはバックアップ操作を妨害する限定的なサービス拒否(DoS)状態を引き起こす可能性があります。NetBak PC Agentをデータ保護に利用している組織にとって、これはバックアップの整合性とシステムセキュリティに対する直接的な脅威となります。
NetBak PC Agentは、インストール時および実行時にMicrosoft ASP.NET Coreに依存しています。このバックアップソリューションを実行しているWindowsシステムには、以前にパッチが適用されていない限り、脆弱なASP.NET Coreコンポーネントが含まれている可能性があります。HTTPリクエストスマグリング技術は、異なるシステムコンポーネントがHTTPメッセージを解釈する方法の不整合を悪用し、攻撃者が武器化できるギャップを作り出します。この種の脆弱性は、これまで企業インフラや機密データリポジトリを標的とした高度な攻撃で利用されてきました。
CVE-2025-55315の脆弱性は認証を必要としますが、内部脅威や侵害されたアカウントは多くの組織で現実的な攻撃シナリオとなります。一度認証された攻撃者が足がかりを得ると、この脆弱性はラテラルムーブメントと権限昇格のための強力なツールとなります。
QNAPからの推奨事項と対策
QNAPは、すべてのNetBak PC Agentユーザーに対し、ASP.NET Coreランタイムを直ちにアップデートするよう緊急の推奨事項を発行しました。組織は、Windowsシステムに最新のMicrosoft ASP.NET Coreアップデートが含まれていることを確認することが、バックアップインフラを悪用から保護するために不可欠であると強調しています。
ユーザーはこの脆弱性に対処するために、主に2つの方法があります。
方法1: NetBak PC Agentの再インストール
設定に移動し、インストールされているアプリでアプリケーションを見つけて完全にアンインストールします。QNAPの公式ユーティリティページから最新バージョンをダウンロードした後、ソフトウェアを再インストールすると、必要なセキュリティパッチが適用された現在のASP.NET Coreランタイムコンポーネントが自動的に展開されます。
方法2: ASP.NET Coreの手動アップデート
再インストールを希望しないユーザーには、手動でのASP.NET Coreアップデートが代替ソリューションとなります。この方法では、Microsoftの公式.NET 8.0ダウンロードページから最新のASP.NET Core Runtime Hosting Bundleをダウンロードする必要があります。2025年10月現在、現在のバージョンは8.0.21です。インストール後、システム管理者はアプリケーションまたはシステムを再起動して、更新されたコンポーネントが適切に初期化されていることを確認する必要があります。
セキュリティ専門家は、組織全体に展開する前に、制御された環境でアップデートをテストすることを推奨しています。組織はまた、NetBak PC Agentのすべての展開インスタンスが必要なアップデートを受け取っていることを確認し、インフラ全体で一貫性のないセキュリティ体制を防ぐ必要があります。
CVE-2025-55315の発見は、すべてのソフトウェア依存関係、特に重要なバックアップ操作を処理するものにおいて、最新のパッチレベルを維持することの重要性を強調しています。定期的な脆弱性スキャンと自動パッチ管理システムは、攻撃者が同様のリスクを発見する前に組織が特定するのに役立ちます。まだアップデートを行っていないユーザーは、バックアップシステムとデータセキュリティへの潜在的な影響を考慮し、このパッチを直ちに優先すべきです。