JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月22日、「JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性」において、バッファローのNAS「LinkStation 200シリーズ」に脆弱性が存在するとして、注意を呼びかけた。この脆弱性を悪用されると、中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者により不正なコードを実行される可能性がある。

  • JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性

    JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

修正された脆弱性(CVE)の情報は次のとおり。

  • CVE-2023-51073 - ファームウェアアップデートスクリプトにデータの完全性を十分に検証しない脆弱性。この脆弱性を悪用することで中間者攻撃可能な攻撃者は不正なファームウェアをダウンロードさせたり、不正なプログラムを実行させる可能性がある

脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • LS210Dシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS210DNシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS210DCシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS210DGシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS210DNBシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220Dシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220DNシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220DCシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220DGシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220DBシリーズ Ver1.80およびこれ以前のファームウェアバージョン
  • LS220DNBシリーズ Ver1.80およびこれ以前のファームウェアバージョン

脆弱性が修正された製品

脆弱性を修正したプロダクトおよびバージョンは次のとおり。

  • LS210Dシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS210DNシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS210DCシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS210DGシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS210DNBシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220Dシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220DNシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220DCシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220DGシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220DBシリーズ Ver1.82およびこれ以降のファームウェアバージョン
  • LS220DNBシリーズ Ver1.82およびこれ以降のファームウェアバージョン

この脆弱性の深刻度は重要(Important)と評価されており注意が必要。JPCERT/CCは、開発者の提供する情報に基づき最新のファームウェアにアップデートすることを推奨している。