最近、2つの大きなセキュリティニュースがありました。
CVE-2026-32746
特定のtelnetdに存在する脆弱性です。攻撃者が接続初期化時のオプションネゴシエーション段階で細工された内容を送信することで、常駐プログラムのメモリバッファオーバーフローを引き起こし、システム権限で任意のコマンドを実行できます。
QNAP NAS/QVP/TVRなどの製品では、telnetサービスはデフォルトで無効になっています。また、確認の結果、当社のシステムは異なるターミナルサービスパッケージを使用しており、当該脆弱性を含む欠陥コードは含まれていません。そのため、この項目についてファームウェアアップデートは不要です。
一方、Axios npmパッケージのサプライチェーン攻撃事件も発生しました。
悪意のある攻撃者が1.14.1および0.30.4バージョンのコードにバックドアを仕込み、Node.jsの環境変数を盗み、ホスト内の重要情報を外部サーバーに送信します。
QNAPの一部ソフトウェアプロジェクトではAxiosを参照しています。しかし、当社の開発プロセスでは固定パッケージバージョン機構を実施し、ソフトウェア部品表(SBOM)をロックしています。調査の結果、現在リリースされているソフトウェアには感染バージョンのパッケージは含まれていません。
したがって、現行のQNAP製品はこれら2つの問題の影響を受けず、機器環境やネットワーク構成を変更する必要はありません。