JVNVU#96743693
Netgear NMS300 に任意のファイルアップロードとパストラバーサルの脆弱性

Netgear NMS300 バージョン 1.5.0.11 およびそれ以前には、任意のファイルをアップロードできる脆弱性が存在します。これを悪用することで、認証されていない攻撃者は SYSTEM 権限で任意のコードを実行することが可能です。さらに、ディレクトリトラバーサルの脆弱性が存在し、認証済みのユーザは任意のファイルをダウンロードすることが可能です。

• Netgear ProSAFE Network Management System NMS300 version 1.5.0.11 およびそれ以前

Netgear が提供する NMS300 は、SNMP を使用するネットワーク機器をウェブインターフェースで設定、監視、診断するための統合ネットワーク管理ソフトウェアです。

危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2016-1524
NMS300 では、デフォルト設定で、第三者からアクセス可能な 2つの Java サーブレットが動作しています（ http://<IP>:8080/fileUpload.do および http://<IP>:8080/lib-1.0/external/flash/fileUpload.do）。これらのサーブレットに細工した POST リクエストを送信することで、攻撃者は任意のファイルをサーバにアップロードすることができます。アップロードされたファイルには、NMS300 の root ディレクトリである http://<IP>:8080/null<filename> でアクセスすることができます。なお、NMS300 のサーバは SYSTEM 権限で動作しています。

ディレクトリトラバーサル (CWE-22) - CVE-2016-1525
NMS300 にはディレクトリトラバーサルの脆弱性が存在します。当該製品にログインした攻撃者は、POST リクエスト中の realName パラメータを細工して
 http://<IP>:8080/data/config/image.do?method=add にリクエストを送信することで、サーバ内の任意のファイルをウェブサービス上の推測可能な場所に配置することができます。配置されたファイルは、http://<IP>:8080/data/config/image.do?method=export&imageId=<ID> にアクセスすることでダウンロードできます。 <ID> は回数を表す値であり、ファイルがアップロードされるたびに 1づつ更新されます。

同一ネットワーク上の攻撃者によって、認証なしでサーバのウェブ root 上に任意のファイルをアップロードされ、データを作成されたり、SYSTEM 権限で任意のコードを実行されたりする可能性があります。また、認証済みの攻撃者によって、サーバのローカル上に存在する任意のファイルにアクセスされる可能性があります。

2016年2月4日現在、CERT/CC ではこの問題を解決できる現実的な方法を把握していません。
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

ネットワークを制限する
信頼できないネットワークからウェブ管理画面へのアクセスを制限するよう、ファイアウォールのルールを設定してください。