Critical NAS Risk: I-O DATA Flaw with 9.8 CVSS Allows Remote Command Execution
2025/05/16 SecurityOnline — 集中管理されたストレージとデータ・アクセスを提供する Network Attached Storage (NAS) は、家庭および企業のネットワークに不可欠なコンポーネントとなっている。先日の JPCERT/CC アドバイザリによると、I-O DATA DEVICE の HDL-T Series NAS デバイスに発見された複数の深刻な脆弱性により、データ・セキュリティとネットワーク整合性に重大なリスクが生じているという。
JPCERT/CC のアドバイザリでは、I-O DATA HDL-T Series に影響を及ぼす、以下の脆弱性が取り上げられている。
OS コマンド・インジェクション:CVE-2025-32002 (CVSS:9.8):Remote Link3 機能が有効化されている状況で発生する、深刻な脆弱性である。この脆弱性を悪用する未認証のリモート攻撃者は、NAS デバイス上での任意の OS コマンド実行の可能性を手にする。
重要機能における認証の欠如:CVE-2025-32738 (CVSS:5.3):この脆弱性を悪用する未認証のリモートの攻撃者は、製品の設定を変更する可能性を得る。
この脆弱性が影響を及ぼす範囲は、I-O DATA HDL-T Series のファームウェア Ver.1.21 以下である:
- HDL-TC1
- HDL-TC500
- HDL-T1NV
- HDL-T1WH
- HDL-T2NV
- HDL-T2WH
- HDL-T3NV
- HDL-T3WH
これらの脆弱性が悪用されると、深刻な結果を招くと思われる。
システム全体の侵害:OS コマンド・インジェクションの脆弱性 CVE-2025-32002 の悪用に成功した攻撃者は、任意のコマンドを実行し、NAS デバイスを完全に制御する機会を手にする。その結果として、データの窃取/改竄/削除に加えて、マルウェアのインストールなどが引き起こされる可能性がある。
不正なコンフィグ変更:認証不足の脆弱性 CVE-2025-32738 を悪用する攻撃者は、NAS デバイスの設定を不正に変更できる。その結果として、不正なアクセス制御/ネットワーク設定などが引き起こされ、さらなるセキュリティ侵害やサービス中断の可能性が生じる。
これらの脆弱性を軽減するために推奨される解決策は、影響を受けるHDL-T Series NAS デバイスのファームウェアを更新することだ。 すでに I-O DATA は、ファームウェア Ver.1.22 をリリースし、これらの問題に対処している。
I-O DATA HDL-T NAS の脆弱性 CVE-2025-32002/CVE-2025-32738 が FIX しました。影響を受けるモデル名は、JPCERT/CC のアドバイザリに明示されていますので、ご利用のチームは、ご参照ください。よろしければ、NAS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.