最近、2件の重要なインシデントレポートがありましたので、簡単にご報告いたします。
CVE-2026-32746 telnetd 脆弱性
特定の telnetd 実装における脆弱性です。攻撃者は初期化フェーズ中に細工されたペイロードを送信し、メモリバッファオーバーフローを引き起こすことで、システム権限で任意のコマンドを実行できる可能性があります。
QNAP NAS、QVP、TVR 製品の telnet サービスはデフォルトで無効化されています。また、当社のシステムは欠陥のある機能コードを含まない別のターミナルサービスパッケージを使用しています。
この問題に対するファームウェアアップデートは不要です。
Axios npm パッケージのポイズニング
ソフトウェアサプライチェーン攻撃です。攻撃者はバージョン 1.14.1 および 0.30.4 にバックドアを埋め込みました。このコードは Node.js の環境変数を盗み、ホスト情報を外部サーバーに送信します。
一部の QNAP ソフトウェアプロジェクトでは Axios を使用していますが、当社の開発プロセスではパッケージバージョンを固定し、ソフトウェア部品表(SBOM)をロックしています。現在リリースされているソフトウェアには感染したパッケージバージョンは含まれていません。
まとめると、既存の QNAP 製品はこれら2つの問題の影響を受けません。デバイス環境やネットワーク構成の変更も不要です。