QNAP、 Pwn2Own で発見されたゼロデイ脆弱性をパッチ

セキュリティメディア「Security Affairs」によると、QNAPが自社デバイスで発見されたゼロデイ脆弱性の修正パッチを開発して配布しているそうです。問題の脆弱性はCVE-2024-50387で、SQLインジェクション攻撃を可能にします。最近、アイルランドで行われた「 Pwn2Own 」ハッキング大会で発見された脆弱性であり、それを見つけたハッキングチームは2万ドルの賞金を受けました。パッチが完了されたバージョンは4.15.002および上位バージョン、h4.15.002および上位バージョンです。QNAPは、前も Pwn2Own で発見された他のゼロデイ脆弱性のCVE-2024-50388の修正パッチを公開したことがあります。

Pwn2Own ハッキング大会は、一般的に使われるITサービスと製品を市場に披露する企業の方から大会に製品を提供する場合もあります。大会を通じて脆弱性が見つかると、それを企業に伝え、企業をそれを迅速にパッチして配布することでユーザーを保護することができるからです。脆弱性を見つけたハッカーは賞金を受ける形であり、バグバウンティを大会形式で行うことだと言えます。

一方で、Security Affairsは「普通は、企業の方から大会から90日以内にパッチを発表することになっています。しかし、QNAPはそれより早くパッチを公開しました。」と加えました。