6万1000台以上のNASデバイスに影響 D-Linkが深刻度「緊急」の脆弱性情報を公開：セキュリティニュースアラート

D-Linkはサポート終了済みのNAS製品に存在する重大な脆弱性の情報を公開した。インターネットに存在する6万1000台以上のNASデバイスが影響を受けるとされており、注意が必要だ。

[後藤大地，有限会社オングス]

　D-Linkは2024年11月8日（現地時間）、同社の旧NAS製品に重大な脆弱（ぜいじゃく）性が存在することを発表した。この脆弱性が悪用された場合、認証されていないリモートの攻撃者によってOSコマンドを実行される可能性がある。

D-Link NASの脆弱性が全世界の6万1000台以上のデバイスに影響

　報告された脆弱性は「CVE-2024-10914」として特定されている。CVE-2024-10914はコマンドインジェクションの脆弱性とされており、影響を受けるのはCGIスクリプトファイル「account_mgr.cgi」の「cgi_user_add」関数とされている。共通脆弱性評価システム（CVSS）v4のスコア値は9.2で、深刻度「緊急」（Critical）と位置付けられている。

　影響を受ける製品モデルおよびバージョンは以下の通りだ。

• DNS-320 Version 1.00 全てのリージョン／全てのリビジョン
• DNS-320LW Version 1.01.0914.2012 米国以外／全てのリビジョン
• DNS-325 Version 1.01, Version 1.02 全てのリージョン／全てのリビジョン
• DNS-340L Version 1.08 全てのリージョン／全てのリビジョン

　これらの製品は全てサポート終了となっており、ファームウェア更新やセキュリティパッチは提供されていない。

　この他、これらの製品に影響を及ぼす脆弱性について、サイバーセキュリティの研究者によって「Command Injection Vulnerability in `name` parameter for D-Link NAS」において情報が開示されている。公開された情報によると、インターネットに存在する6万1000台以上のNASデバイスが影響を受けるとされている。

　D-Linkはサポート終了製品に対してデバイスの撤去や交換を推奨している。該当製品を使用しているユーザーは早急に別の最新かつサポート対象のNAS製品に移行することが推奨される。旧式の機器は最新のセキュリティ基準を満たしておらず、特にネットワークへの接続が必要な環境での使用には注意が必要だ。