D-Link製NASデバイスに脆弱性 9万2000台に影響:セキュリティニュースアラート
D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
台湾の情報通信機器メーカーD-Linkは2024年4月4日(現地時間)、セキュリティ研究者の指摘を受けてサポート終了(EOL)を迎えたネットワーク接続ストレージモデル製品などに脆弱(ぜいじゃく)性が見つかったと伝えた。
D-Link製NASデバイスに脆弱性 9万2000台に影響
脆弱性は管理インタフェースに見つかったもので、これを悪用することでデバイスに対するコマンドインジェクションやバックドアアカウント攻撃などを実行されるリスクがある。D-Linkは該当製品を使用しているユーザーに対してデバイスの撤去と交換を推奨している。
影響を受ける製品モデルおよびバージョンは以下の通りだ。
- DNS-320L: 全てのリージョン/全てのリビジョン
- DNS-325: 全てのリージョン/全てのリビジョン
- DNS-327L: 全てのリージョン/全てのリビジョン
- DNS-340L: 全てのリージョン/全てのリビジョン
これらの製品は全てサポート終了(EOL)となっており、修正済みファームウェアは提供されない。製品に影響を与える脆弱性の情報はセキュリティ研究者によって「netsecfish/dlink」で開示された。公開された情報によるとコンポーネント「HTTP GET Request Handler」のファイル「/cgi-bin/nas_sharing.cgi」に以下2つのリスクがあるとされている。
- ハードコードされた認証情報によってもたらされるバックドア
- systemパラメーターを介したコマンドインジェクション
上記脆弱性を利用することで、影響を受けるD-Link NASデバイスで任意のコマンドを実行でき、機密情報の窃取やシステム構成の変更、サービス運用妨害(DoS)などを引き起こせる。研究者はこの脆弱性はインターネットにおける9万2000以上のデバイスに影響を与える可能性があるとして注意を呼びかけている。
関連記事
さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。
Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。
Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。
「侵害は防げた」 Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。