ニュース
D-Link製NASデバイスに脆弱性 9万2000台に影響:セキュリティニュースアラート
D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。
台湾の情報通信機器メーカーD-Linkは2024年4月4日(現地時間)、セキュリティ研究者の指摘を受けてサポート終了(EOL)を迎えたネットワーク接続ストレージモデル製品などに脆弱(ぜいじゃく)性が見つかったと伝えた。
D-Link製NASデバイスに脆弱性 9万2000台に影響
脆弱性は管理インタフェースに見つかったもので、これを悪用することでデバイスに対するコマンドインジェクションやバックドアアカウント攻撃などを実行されるリスクがある。D-Linkは該当製品を使用しているユーザーに対してデバイスの撤去と交換を推奨している。
影響を受ける製品モデルおよびバージョンは以下の通りだ。
- DNS-320L: 全てのリージョン/全てのリビジョン
- DNS-325: 全てのリージョン/全てのリビジョン
- DNS-327L: 全てのリージョン/全てのリビジョン
- DNS-340L: 全てのリージョン/全てのリビジョン
これらの製品は全てサポート終了(EOL)となっており、修正済みファームウェアは提供されない。製品に影響を与える脆弱性の情報はセキュリティ研究者によって「netsecfish/dlink」で開示された。公開された情報によるとコンポーネント「HTTP GET Request Handler」のファイル「/cgi-bin/nas_sharing.cgi」に以下2つのリスクがあるとされている。
- ハードコードされた認証情報によってもたらされるバックドア
- systemパラメーターを介したコマンドインジェクション
上記脆弱性を利用することで、影響を受けるD-Link NASデバイスで任意のコマンドを実行でき、機密情報の窃取やシステム構成の変更、サービス運用妨害(DoS)などを引き起こせる。研究者はこの脆弱性はインターネットにおける9万2000以上のデバイスに影響を与える可能性があるとして注意を呼びかけている。
関連記事
- さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。 - Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。 - Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。 - 「侵害は防げた」 Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.