公開日:2016/10/21 最終更新日:2016/10/21

JVNVU#93774715
Synology 製の複数の NAS サーバに機器共通の認証情報が設定されている問題

概要

Synology 製の複数の NAS サーバには、機器共通の認証情報が設定されています。

影響を受けるシステム

  • Disk Station DS107
  • DiskStation DS116 firmware version 5.2-5644-1 より前のバージョン
  • DiskStation DS213 firmware version 5.2-5644-1 より前のバージョン

詳細情報

証明書やパスワードの管理 (CWE-255) - CVE-2016-6554
Synology 製の NAS サーバ である DS107、DS116 および DS213 の初期設定では、認証情報として "guest:(パスワードなし)" および "admin:(パスワードなし)" が設定されています。

想定される影響

遠隔の第三者によって、管理者権限で機器にアクセスされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
DS116 および DS213 では firmware version 5.2-5644-1 で、初期設定で存在する管理者アカウント "admin" を有効にする場合にはパスワードの設定を要求するように変更されています。

ワークアラウンドを実施する
DS107 およびアカウント "guest" に対しては、次のワークアラウンドを実施してください。

  • 初期設定で存在しているアカウントを無効にする
    これら対象製品全てにおいて最新のファームウェアではアカウント "guest" を無効に設定することが可能です。
    DS116 および DS213 向けの最新のファームウェアではアカウント "admin" も無効に設定することが可能です。

ベンダ情報

ベンダ リンク
Synology Inc. DS107 Release Notes
DS116 Release Notes
DS213 Release Notes

参考情報

  1. CERT/CC Vulnerability Note VU#404187
    Synology NAS servers contain insecure default credentials
  2. Akamai Technologies
    SSHowDowN: Exploitation of IoT devices for Launching Mass-Scale Attack Campaigns

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:L/AC:M/Au:N/C:C/I:C/A:C
基本値: 6.9
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-6554
JVN iPedia