バッファローのNAS「LinkStation 200シリーズ」に脆弱性、更新を

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月22日、「JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性」において、バッファローのNAS「LinkStation 200シリーズ」に脆弱性が存在するとして、注意を呼びかけた。この脆弱性を悪用されると、中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者により不正なコードを実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

LS200シリーズにおける複数の脆弱性とその対処方法 | バッファロー

修正された脆弱性(CVE)の情報は次のとおり。

CVE-2023-51073 - ファームウェアアップデートスクリプトにデータの完全性を十分に検証しない脆弱性。この脆弱性を悪用することで中間者攻撃可能な攻撃者は不正なファームウェアをダウンロードさせたり、不正なプログラムを実行させる可能性がある

○脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

LS210Dシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS210DNシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS210DCシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS210DGシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS210DNBシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220Dシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220DNシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220DCシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220DGシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220DBシリーズ Ver1.80およびこれ以前のファームウェアバージョン
LS220DNBシリーズ Ver1.80およびこれ以前のファームウェアバージョン

○脆弱性が修正された製品

脆弱性を修正したプロダクトおよびバージョンは次のとおり。

LS210Dシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS210DNシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS210DCシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS210DGシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS210DNBシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220Dシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220DNシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220DCシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220DGシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220DBシリーズ Ver1.82およびこれ以降のファームウェアバージョン
LS220DNBシリーズ Ver1.82およびこれ以降のファームウェアバージョン

この脆弱性の深刻度は重要(Important)と評価されており注意が必要。JPCERT/CCは、開発者の提供する情報に基づき最新のファームウェアにアップデートすることを推奨している。