D-Linkは11月8日(現地時間)、「D-Link Technical Support」において、同社のNAS( Network Attached Storage)に緊急の脆弱性が存在すると発表した。この脆弱性を悪用されると、リモートから不正にOSコマンドを実行される可能性がある。

  • D-Link Technical Support

    D-Link Technical Support

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-10914 - コマンドインジェクションの脆弱性(CVSSスコア: 9.2)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • DNS-320 Version 1.00
  • DNS-320LW Version 1.01.0914.2012
  • DNS-325 Version 1.01およびVersion 1.02
  • DNS-340L Version 1.08

影響と対策

影響を受ける製品はインターネット上に6万1,000台以上存在することが確認されている。これら製品はいずれもサポート終了(EOL: End-of-Life)となっており、今後アップデートが提供される予定はない。

D-LinkはEOL製品の使用中止または交換を推奨している。使用を継続する必要がある場合は、ファイアウォールの内側などインターネットからアクセスできない環境で利用することが望まれている。