CVE-2024-22170 (CVSS 9.2): Western Digital Addresses Critical Flaw in My Cloud Devices
2024/09/30 SecurityOnline — Western Digital が発表したのは、My Cloud シリーズに影響を及ぼす、脆弱性 CVE-2024-22170 (CVSS:9.2) のセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上で任意のコードを実行し、不正アクセスや情報漏えいなどの可能性を手にする。
この脆弱性は Dynamic DNS クライアントに存在し、未チェックのバッファに起因する。攻撃者は、この脆弱性を中間者 (MitM) 攻撃を通じて悪用し、Dynamic DNS 更新リクエストに悪意のペイロードを注入することで、バッファ・オーバーフローを引き起こすことが可能となる。そして、任意のコードを実行する攻撃者は、侵害したデバイス上で広範な制御を獲得する可能性を得る。
この脆弱性は、Trend Micro Zero Day Initiative と Claroty Research Team82 (Noam Moshe) により発見/報告された。
脆弱性 CVE-2024-22170 の影響を受ける製品は下記の通りだ:
- My Cloud EX2 Ultra
- My Cloud EX4100
- My Cloud PR2100
- My Cloud PR4100
- My Cloud
- My Cloud Mirror G2
- My Cloud EX2100
- My Cloud DL2100
- My Cloud DL4100
- WD Cloud
すでに Western Digital は、My Cloud OS 5 のファームウェア・バージョン 5.29.102 で、この脆弱性に対処している。すべてのユーザーに対して強く推奨されるのは、直ちにデバイスをバージョンアップして、潜在的な悪用からデータとシステムを保護することだ。
Western Digital の My Cloud に脆弱性です。CVSS 値が高いので、ご利用のチームは、ご注意ください。このところ、NAS に関する脆弱性情報が無いと思っていましたが、ちゃんときますね。1つの NAS に脆弱性が発生すると、他の NAS にも発生するというケースが多いので、複数の NAS に影響が及ぶ、何かが在るのかもしれません。よろしければ、Western Digital で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.