N8800 NASサーバに複数の脆弱性

「Vulnerability Note VU#105686 - Thecus NAS Server N8800 contains multiple vulnerabilities」がThecus TechのNASサーバ「N8800」に複数のセキュリティ脆弱性が存在することを伝えた。ファームウェアのバージョンが「5.03.01」のものがこのセキュリティ脆弱性の影響を受けるとされている。執筆現在、このセキュリティ脆弱性を修正する方法は発表されておらず、ファイアウォール機能を有効にして信用できないソースからのアクセスを遮断するといった一時的な対処を実施することを検討してほしいと説明がある。

記事では特に3つの脆弱性が説明されている。まず、ユーザからの入力を受け付けるget_useridパラメータの処理に問題があり、このパラメータを使って任意のコマンドが実行できる脆弱性が存在しているという。また、ADS/NTサポートページのドメイン管理者のパスワードが平文で保持されているため簡単に盗めること、管理者向けのWebページではパスワードを平文で転送するためやはり攻撃者によって管理者のパスワードが盗み取られる危険性が高いことが説明されている。

セキュリティ脆弱性の詳しい内容については7 Elementsに掲載された記事「Multiple vulnerabilities in Thecus NAS」に詳しい説明がある。該当する製品を使用している場合、提示されているリスク低減の設定をするとともに、ベンダーから提供されるとみられる修正情報などを逃さないようにしたい。