CVE-2025-20055 (CVSS 9.8): Critical Vulnerability Threatens STEALTHONE Storage
2025/01/15 SecurityOnline — 2025年1月15日に JPCERT/CC が公開したセキュリティ・アドバイザリは、STEALTHONE D220/D340/D440 ネットワーク・ストレージ・サーバに影響を及ぼす、複数の脆弱性に関するものである。ユーザーに推奨されるのは、ファームウェアを速やかに更新することである。それらの脆弱性 CVE-2025-20016/CVE-2025-20055/CVE-2025-20620 の悪用に成功した攻撃者は、任意のコマンド実行/不正アクセス/管理パスワードの窃取などの可能性を手にする。
脆弱性の詳細:
- CVE-2025-20016 (CVSS 7.2):コマンド・インジェクションの脆弱性
この脆弱性の悪用に成功した認証済みの管理者は、影響を受けるデバイス上で任意の OS コマンドを実行し得る。この脆弱性の悪用には、管理者アクセス権が必要とされるが、悪意の内部関係者による悪用や、侵害された管理者アカウントを通じた悪用の可能性がある。 - CVE-2025-20055 (CVSS 9.8):コマンド・インジェクションの脆弱性
ネットワーク・ストレージ・デバイスへのアクセス権を持つ攻撃者に対して、任意の OS コマンド実行を許す脆弱性。この脆弱性が悪用されると、システム全体が侵害され、データ漏洩につながる可能性がある。 - CVE-2025-20620 (CVSS 7.5):SQL インジェクションの脆弱性
この脆弱性の悪用に成功した攻撃者は、Web 管理インターフェイスの管理パスワードを入手し、デバイスおよび保存されるデータに対する、完全な制御権を奪取し得る。
影響を受けるデバイスとファームウェアのバージョン:
- STEALTHONE D220:ファームウェア v6.03.02 以下
- STEALTHONE D340:ファームウェア v6.03.02 以下
- STEALTHONE D440:ファームウェア v7.00.10 以下
ただちにアップデートを!
STEALTHONE の開発元である Y’S Corporation は、すでにファームウェア・アップデートをリリースし、これらの脆弱性に対処している。影響を受ける STEALTHONE デバイスのユーザーに推奨されるのは、最新のファームウェア・バージョンへと、速やかにアップデートすることである。
なぜ、 JPCERT/CC がセキュリティ・アドバイザリを出すのかと思っていたら、国内のベンダーが提供する STEALTHONE だったのですね。その一方で、日本から発信される情報を取り上げてくれる SecurityOnline も、いい仕事をしてくれますね。よろしければ、Japan で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.