Critical ASUSTOR NAS Security Flaw Enables Complete Device Takeover
2026/02/04 gbhackers — ASUSTOR 製 Network Attached Storage (NAS) デバイスに存在する、深刻な脆弱性 CVE-2026-24936 (CVSS v4.0:9.5) の情報が開示された。この脆弱性を悪用する未認証の攻撃者は、影響を受けるシステムを完全に掌握する可能性があることが明らかとなっている。したがって、提供されているアップデートの速やかな適用が、管理者にとって極めて重要とされている。
この欠陥は、ASUSTOR Data Master (ADM) オペレーティング・システム内に存在し、特に Active Directory (AD) ドメインへ参加する際に使用されるプロセスが、攻撃の標的にされやすいという。
技術的分析
この脆弱性の中核となるのは、特定の CGI プログラムに存在する、入力に対する検証の不備である。NAS が AD ドメインへ参加しようとする際に、特定の機能が有効化されている状況で、この欠陥は顕在化する。具体的には、入力パラメータが正しく検証されないことにより、システムに対する不正な操作が可能な状態に陥ってしまう。
この弱点を突く未認証のリモート攻撃者は、セキュリティ制御を回避し、システム上の任意のファイルに対して、任意データを書き込むことが可能となる。この任意ファイル書き込み能力を悪用する攻撃者は、重要なシステム・ファイルやコンフィグ設定の上書きが可能になる。
この一連の悪用チェーンにより、システムは完全に侵害され、NAS デバイスおよび内部に保存された機微なデータに対する、root レベルのアクセス権限が攻撃者に付与されてしまう。
| Property | Detail |
|---|---|
| CVE ID | CVE-2026-24936 |
| Severity | Critical |
| CVSS v4.0 Score | 9.5 |
| Vector | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
| Vulnerability Type | Improper Input Validation / Arbitrary File Write |
| Researcher | Wilson Lu (@93wilsonlu) / DEVCORE Internship |
影響バージョンおよび対応状況
この脆弱性が影響を及ぼす範囲は、ADM ソフトウェアの 2つの主要ブランチである。新しいブランチ向けには、修正が提供されているが、もう一方の旧バージョンは、現時点で未修正の状態にある。
ASUSTOR は ADM 5.x 系列向けにパッチをリリースしており、ADM 5.1.2.RE51 で問題は修正されている。ADM 5.0.0 から 5.1.1.RCI1 を使用している利用者は、修正済みリリースへと直ちにアップグレードすべきである。
その一方で、ADM 4.x 系列 (4.1.0〜4.3.3.ROF1) については、現時点での対応状況は Ongoing とされている。
これらのバージョンを運用する管理者は、ASUSTOR のセキュリティ・アドバイザリを継続的に監視し、修正パッチが提供されるまでの間、可能であればデバイスをパブリック・インターネットから隔離すべきである。また、AD ドメイン参加機能を無効化するなどの暫定的対策も検討すべきである。
ASUSTOR 製 NAS の OS (ADM) において、Active Directoryドメインに参加する際の処理プログラムに、入力データのチェック漏れが発見されました。具体的には、外部から送られてくる情報を正しく検証せずに受け入れてしまい、未認証のリモート攻撃者に対して、システム内の重要なファイルの書き換えを許してしまいます。それにより、攻撃者は NAS の管理者権限 (root) を奪取し、保存されている機密データやシステムの設定を完全に掌握することが可能になります。特に、特定の機能が有効化されている場合にリスクが高まるため、対象となる ADM 5.x 系を利用している場合は、速やかな修正が必要です。
IoT OT Security News 
You must be logged in to post a comment.