D-Link社製のNASに深刻なセキュリティ脆弱性、対象は9万2000台超

2024.4.8 ニュース

サポートの終了を迎えた複数のD-LINK 社製のNetwork Attached Storage (NAS)にコマンドインジェクションとハードコーディングされたバックドアの脆弱性があることが明らかになりました。

これはセキュリティについて研究しているNetsecfish氏がGitHubで公開したもので、該当する製品を利用しているユーザは注意が必要です。

今回見つかった脆弱性「CVE-2024-3273」とは？

この脆弱性はDNS-340L、DNS-320L、DNS-327L、DNS-325など複数の D-Link NAS製品に影響を与えます。

影響を受ける製品では/cgi-bin/nas_sharing.cgiにある脆弱性を利用し悪意のある HTTP リクエストにより任意のコマンドを実行する可能性とユーザが予期しないアカウントによるバックドアがあることが判明しており、機密情報への不正アクセスやシステム構成の変更、その他の問題を引き起こされる可能性があります。
この脆弱性は「CVE-2024-3273」として記録されています。

92,000 を超えるデバイスに影響か。この脆弱性の影響を受けるモデルとは？

Netsecfish氏は以下のD-LINK 社製のNASが「CVE-2024-3273」の影響を受けるとしています。

DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08

なお、Netsecfish氏の調査によると、この問題を受けるモデルはインターネット上に92,000台以上あるとしており、該当するモデルを利用しているユーザは早急の対策が求められています。

脆弱性の詳細

GitHubでNetsecfish氏はこの脆弱性に関する詳しい情報を公開しています。

その中で、この攻撃は脆弱性を含むCGI スクリプト(nas_sharing.cgi)に対し、HTTP リクエストを準備します。

GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=<BASE64_ENCODED_COMMAND_TO_BE_EXECUTED>

上の例ではこの脆弱性があるエンドポイント/cgi-bin/nas_sharing.cgiにハードコードされたバックドアアカウントに焦点を当てるため「user=messagebus」というリクエストを、また、「passwd=」のパラメータは空白で設定します。

「system=」パラメータにはbase64でエンコードされたコマンドが含まれています。

Netsecfish氏が実例として公開した以下の画像のうち、「decode result」として表示されているのは、systemパラメータのbase64エンコードされた値をデコードした結果です。ここには「echo」というコマンドの後に続く一連の文字があり、この攻撃が成功した場合には、この文字列が表示されるようになっています。

画像の内容を読み進めていくと、サーバーからは「HTTP/1.1 200 OK」というステータスコードが返されており、リクエストが成功したことを示しています。そして、上図のうち下から3行目の赤枠には先ほどの「decode result」にあった文字列が表示されており、テストで行われたこの攻撃が成功していることが分かります。

パッチの提供はなし

この脆弱性を発見したNetsecfish氏は、この問題を修正するには「デバイスの製造元から入手可能なパッチとアップデートを適用します。」(Netsecfish氏がGitHubに掲載した文章を抄訳したもの)としていますが、このニュースを報じたBleepingComputerの取材に対しD-Linkは、これらのNAS 機器はサポート期間が終了(End Of Life :EOL)しており、この影響を受ける製品に対してパッチなどのアップデートを配信する予定はないことを明らかにしました。

なお、D-Linkはこの脆弱性に対し、このエクスプロイトの概要と、この影響を受けるモデルをまとめたページを公開しました。

このページの中でD-Link USは「EOL/EOS に達した D-Link デバイスを廃止して交換することを推奨します。」(D-Linkが公開した文章を抄訳したもの)とし、この脆弱性をもつ製品の利用停止と新しい製品への交換を強く求めています。