ASUSTOR ADM(ASUSTOR Data Master)オペレーティングシステムで、CVE-2026-6644として追跡されている重大な脆弱性が発見されました。具体的には、この欠陥はPPTP VPNクライアント機能に存在します。
CVSS v4.0スコアが9.4のこのOSコマンドインジェクション脆弱性により、認証されたアドミニストレーターは任意のコマンドをroot権限で実行できます。ASUSTORはADMバージョン5.1.3.RGO1でこの欠陥に対処しました。
エクスプロイトの仕組み
セキュリティ研究者uky007によれば、問題の技術的な根本は、/portal/apis/settings/vpn.cgiにあるPPTP VPN接続ハンドラーにあります。
アドミニストレーターがPPTPサーバーアドレスを入力すると、システムはこのパラメーターをptyディレクティブを使用してpppd設定ファイルに直接書き込みます。
残念ながら、ソフトウェアはこの特定の入力を適切にエスケープまたはサニタイズしていません。システムはユーザー名とパスワードパラメーターに単一引用符のエスケープを正しく適用していますが、サーバーアドレスを完全に見落としています。
pppd がpty値を/bin/shを通じて実行するため、攻撃者はサーバーアドレスを操作して制限されたWebインターフェースから脱出し、基盤となるOS上でroot レベルのコマンドを実行できます。このインジェクションを実証するPythonベースのProof of Concept(PoC)スクリプトは既に公開されています。
重要な点は、これは認証前エクスプロイトではないということです。攻撃者はまずADM管理インターフェースへのアドミニストレーターアクセスを取得する必要があります。
しかし、ASUSTORデバイスはデフォルト認証情報(admin/admin)を備えて出荷されます。ユーザーがこれらのデフォルトを変更しなかった場合、攻撃者の参入障壁は危険なほど低くなります。
脅威アクターがroot アクセスを取得すると、NASデバイスを完全に制御できます。このレベルの侵害により、攻撃者は永続的なマルウェアをインストールでき、保存されている機密データにアクセスできます。または、ハードウェアを分散型サービス拒否(DDoS)攻撃とプロキシ悪用のためのボットネットに徴用できます。
デバイスの露出と緩和
Censysスキャンデータによると、ASUSTORに関連するインターネット対応ホストの上限は約19,000です。
この数字は確認された脆弱なデバイスではなく、ASUSTOR全体の占有面積を反映していますが、パッチが当たっていないハードウェアをスキャンしている脅威アクターの広いターゲット領域を強調しています。
CVE-2026-6644から保護するために、セキュリティチームとNASアドミニストレーターは、直ちに以下のセキュリティ対策を実装すべきです:
- ASUSTOR ADMファームウェアをバージョン5.1.3.RGO1以降に更新してください。
- デフォルトのアドミニストレーター認証情報を強力で固有のパスワードに変更してください。
- ADM管理インターフェースがオープンインターネットに直接公開されることを防いでください。
- 管理アクセスを信頼できる内部ネットワークのみに制限するか、セキュアなVPN接続を要求してください。
- 全体的な攻撃面を減らすために、NASデバイス上で実行されている不要なサービスを無効にしてください。
翻訳元: https://gbhackers.com/poc-disclosed-for-critical-root-asustor-adm-rce-flaw/
