6万1000台以上のNASデバイスに影響 D-Linkが深刻度「緊急」の脆弱性情報を公開:セキュリティニュースアラート
D-Linkはサポート終了済みのNAS製品に存在する重大な脆弱性の情報を公開した。インターネットに存在する6万1000台以上のNASデバイスが影響を受けるとされており、注意が必要だ。
D-Linkは2024年11月8日(現地時間)、同社の旧NAS製品に重大な脆弱(ぜいじゃく)性が存在することを発表した。この脆弱性が悪用された場合、認証されていないリモートの攻撃者によってOSコマンドを実行される可能性がある。
D-Link NASの脆弱性が全世界の6万1000台以上のデバイスに影響
報告された脆弱性は「CVE-2024-10914」として特定されている。CVE-2024-10914はコマンドインジェクションの脆弱性とされており、影響を受けるのはCGIスクリプトファイル「account_mgr.cgi」の「cgi_user_add」関数とされている。共通脆弱性評価システム(CVSS)v4のスコア値は9.2で、深刻度「緊急」(Critical)と位置付けられている。
影響を受ける製品モデルおよびバージョンは以下の通りだ。
- DNS-320 Version 1.00 全てのリージョン/全てのリビジョン
- DNS-320LW Version 1.01.0914.2012 米国以外/全てのリビジョン
- DNS-325 Version 1.01, Version 1.02 全てのリージョン/全てのリビジョン
- DNS-340L Version 1.08 全てのリージョン/全てのリビジョン
これらの製品は全てサポート終了となっており、ファームウェア更新やセキュリティパッチは提供されていない。
この他、これらの製品に影響を及ぼす脆弱性について、サイバーセキュリティの研究者によって「Command Injection Vulnerability in `name` parameter for D-Link NAS」において情報が開示されている。公開された情報によると、インターネットに存在する6万1000台以上のNASデバイスが影響を受けるとされている。
D-Linkはサポート終了製品に対してデバイスの撤去や交換を推奨している。該当製品を使用しているユーザーは早急に別の最新かつサポート対象のNAS製品に移行することが推奨される。旧式の機器は最新のセキュリティ基準を満たしておらず、特にネットワークへの接続が必要な環境での使用には注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
Microsoft、全てのEntraテナントで多要素認証を必須に 先延ばしオプションは廃止
Microsoftは「Secure Future Initiative」の一環として多要素認証を全テナントでデフォルトで有効にし、セキュリティ基準を強化すると発表した。この変更に伴い14日間MFAの登録を先延ばしできた以前のオプションは廃止される。
イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。
“セキュリティの民主化”は実現可能か? ウィズセキュアの事業戦略から読み解く現状の課題
中堅・中小企業のセキュリティ強化が喫緊の課題となる今、専任担当者不在の企業がこれを実現するにはどうすればいいのか。ウィズセキュアがパートナー向けイベントで事業戦略を交えて、解決策を提示した。