D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
台湾の情報通信機器メーカーD-Linkは2024年4月4日(現地時間)、セキュリティ研究者の指摘を受けてサポート終了(EOL)を迎えたネットワーク接続ストレージモデル製品などに脆弱(ぜいじゃく)性が見つかったと伝えた。
脆弱性は管理インタフェースに見つかったもので、これを悪用することでデバイスに対するコマンドインジェクションやバックドアアカウント攻撃などを実行されるリスクがある。D-Linkは該当製品を使用しているユーザーに対してデバイスの撤去と交換を推奨している。
影響を受ける製品モデルおよびバージョンは以下の通りだ。
これらの製品は全てサポート終了(EOL)となっており、修正済みファームウェアは提供されない。製品に影響を与える脆弱性の情報はセキュリティ研究者によって「netsecfish/dlink」で開示された。公開された情報によるとコンポーネント「HTTP GET Request Handler」のファイル「/cgi-bin/nas_sharing.cgi」に以下2つのリスクがあるとされている。
上記脆弱性を利用することで、影響を受けるD-Link NASデバイスで任意のコマンドを実行でき、機密情報の窃取やシステム構成の変更、サービス運用妨害(DoS)などを引き起こせる。研究者はこの脆弱性はインターネットにおける9万2000以上のデバイスに影響を与える可能性があるとして注意を呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.