JVNDB-2016-005560
|
Synology 製の複数の NAS サーバに機器共通の認証情報が設定されている問題
|
|
Synology 製の複数の NAS サーバには、機器共通の認証情報が設定されています。
証明書やパスワードの管理 (CWE-255) - CVE-2016-6554
Synology 製の NAS サーバ である DS107、DS116 および DS213 の初期設定では、認証情報として "guest:(パスワードなし)" および "admin:(パスワードなし)" が設定されています。
|
|
CVSS v3 による深刻度
基本値: 8.4 (重要) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 6.9 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
Synology Inc.
- Disk Station DS107 firmware 3.1-1639 およびそれ以前
- DiskStation DS116 firmware 5.2-5644-1 未満
- DiskStation DS213 firmware 5.2-5644-1 未満
|
|
|
遠隔の第三者によって、管理者権限で機器にアクセスされる可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
DS116 および DS213 では firmware version 5.2-5644-1 で、初期設定で存在する管理者アカウント "admin" を有効にする場合にはパスワードの設定を要求するように変更されています。
[ワークアラウンドを実施する]
DS107 およびアカウント "guest" に対しては、次のワークアラウンドを実施してください。
* 初期設定で存在しているアカウントを無効にする
これら対象製品全てにおいて最新のファームウェアではアカウント "guest" を無効に設定することが可能です。
DS116 および DS213 向けの最新のファームウェアではアカウント "admin" も無効に設定することが可能です。
|
|
Synology Inc.
|
|
- 証明書・パスワードの管理(CWE-255) [IPA評価]
|
|
- CVE-2016-6554
|
|
- JVN : JVNVU#93774715
- National Vulnerability Database (NVD) : CVE-2016-6554
- US-CERT Vulnerability Note : VU#404187
- 関連文書 : SSHowDowN: Exploitation of IoT devices for Launching Mass-Scale Attack Campaigns
|
|
- [2016年10月24日]
掲載
- [2019年07月11日]
参考情報:National Vulnerability Database (NVD) (CVE-2016-6554) を追加
|
