QNAP、NAS 連携ツールの危険度の高い脆弱性(CVE-2025-57714)を含む複数の脆弱性を修正

セキュリティニュース

投稿日時: 更新日時:

QNAP、NAS 連携ツールの危険度の高い脆弱性(CVE-2025-57714)を含む複数の脆弱性を修正

2025年10月4日、QNAPはNAS 連携ツールQsync CentralとバックアップソフトNetBak Replicatorに影響する複数の脆弱性を修正しました。最も深刻なものはSQLインジェクション(CVSS最大8.6)に関する脆弱性 CVE-2025-57714で、条件次第では不正なコードやコマンド実行につながる恐れがあります。管理者は至急アップデートしてください。

脆弱性の対象バージョン

  • Qsync Central5.0.0
    ※このバージョン上で、リソース枯渇/DoS/SQLインジェクションに関する複数の脆弱性が確認されています。

  • NetBak Replicator4.5.15.0807 未満のバージョン(少なくとも当該版より前)
    ※Windowsの未引用検索パス問題に起因し、条件次第で任意コード実行につながるリスクがあります。

対策バージョン

  • Qsync Central5.0.0.2(2025/07/31 以降)
    App Center から「Qsync Central」を検索し最新に更新してください。

  • NetBak Replicator4.5.15.0807 以降
    クライアント側ソフトを該当版以上へアップデートしてください。

いずれも最新版へ更新が最も確実な対策です。更新後は、不要アカウントの削除/MFA有効化/NAS管理ポートの外部露出抑止など、運用面のハードニングも併せて実施してください。

CVE-2025-57714(NetBak Replicator/未引用検索パスによる任意コード実行)

Windowsでありがちな未引用サービスパスの問題です。起動パス途中に空白を含む場合、ユーザーが書き込めるディレクトリに細工した実行ファイルを置かれると、正規プロセスの起動時に攻撃者のバイナリが先に実行されます。標的端末への初期侵入後の権限維持・横展開の足場として使われやすい類型です。対策は NetBak Replicator を 4.5.15.0807 以降へ更新。加えて、サービスパスの引用符有無点検、ユーザー書き込み可能パスの可視化・制限、EDRでの「サービス起動由来の異常プロセス」検知を有効化してください。

CVE-2025-53595(Qsync Central/SQLインジェクション)

認証済みユーザーを前提に、入力値がSQLにそのまま入る経路を突かれて任意のクエリ実行に至る恐れがあります。実運用では、DBからの機微データ読み取り、アカウント情報の改ざん、権限昇格用トークンの生成などに悪用され得ます。条件次第ではDB関数経由のコマンド実行まで踏み込まれるリスクも否定できません。対策は Qsync Central を 5.0.0.2 以降へ更新のうえ、管理UIや同期APIの外部露出を避け、DBアカウントの最小権限化(不要なUPDATE/EXECUTE権限の剥奪)と、監査ログの閾値アラート(異常なSELECT/UPDATE増加)を設定してください。

CVE-2025-54153(Qsync Central/SQLインジェクション)

上記とは別経路のSQLiで、APIパラメータや特定機能の操作からクエリを汚染できるパスが想定されます。組み合わせ攻撃では、まず本脆弱性で永続化の足がかり(バックドア用レコードの埋め込み等)を作り、続いて管理系の設定改変や同期ジョブの乗っ取りに展開する流れが現実的です。対策は同じく 5.0.0.2 以降への更新が最優先。併せて、管理系エンドポイントへのIP制限、MFA必須化、異常なクエリ長・ワイルドカード濫用をWAFでブロックするのが有効です。

CVE-2025-44012(Qsync Central/リソース割り当て無制限:DoS)

認証ユーザーが大量の要求や巨大ジョブを投げ続けることで、CPU/メモリ/スレッド等の資源を枯渇させ、同期・バックアップや他サービスを巻き添え停止に追い込むリスクがあります。可用性が落ちると復旧作業に管理者が拘束され、他の攻撃(設定改変やデータ窃取)を隠す陽動にも使われがちです。対策5.0.0.2 以降への更新に加え、同時実行数・ジョブサイズの上限、レートリミット、帯域制御をポリシー化。バックエンド側でのキュー監視と自動キル(しきい値超過時)も導入してください。