公開日:2014/01/08 最終更新日:2014/03/06

JVNVU#95919136
Synology DiskStation Manager にアクセス制御不備の脆弱性

概要

Synology が提供する DiskStation Manager には、アクセス制御不備の脆弱性が存在します。

影響を受けるシステム

  • Synology DiskStation Manager version 4.3-3776-3 およびそれ以前

詳細情報

Synology が提供する DiskStation Manager には、HTTP リクエストの処理に問題があり、アクセス制御不備の脆弱性が存在します。

本脆弱性を使用した攻撃が観測されています。また、本脆弱性を使用した攻撃コードも公開されています。

想定される影響

遠隔の第三者によって、root 権限でシステム上のファイルに追加書き込みされる可能性があります。結果として、任意のコードを実行される可能性があります。

対策方法

アップデートする
Synology が提供する情報をもとに最新版へアップデートしてください。

なお、次に挙げるバージョンでは、本脆弱性が修正されています。

  • DSM4.0-2259
  • DSM4.2-3243
  • DSM4.3-3810 Update 1

参考情報

  1. CERT/CC Vulnerability Note VU#615910
    Synology DiskStation Manager arbitrary file modification
  2. @police
    脆弱性が存在するNASの探索と考えられる宛先ポート5000/TCPに対するアクセスの急増について (PDF)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.01.08における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-6955
JVN iPedia

更新履歴

2014/03/06
詳細情報、参考情報を更新しました