ASUSTOR ADMのPPTP VPNクライアントの重大ゼロデイ脆弱性に対するプルーフオブコンセプト(PoC)エクスプロイトが公開されました。この脆弱性はCVE-2026-6644として追跡されており、現在修正済みです。
CVSS v4.0ベーススコアで9.4に評価されたこの脆弱性により、認証されたアドミニストレータは影響を受けるNASデバイス上で任意のコマンドを実行でき、ルート権限で操作できます。
CVE-2026-6644はASUSTO ADM内のPPTP VPN接続ハンドラーである/portal/apis/settings/vpn.cgiに存在するOSコマンドインジェクション脆弱性を指しています。
脆弱性追跡プラットフォームによると、この欠陥は広範なADMファームウェアリリースに影響を与えます:
CVE-2026-6644は管理者認証を必要とするため認証後のRCEですが、デフォルトデプロイメントではリスクが大幅に高まります。
ASUSTOR ADMはデフォルトの管理者認証情報admin/adminで出荷されているため、デフォルト認証情報を変更していない環境は簡単に悪用される可能性があります。
攻撃者がアクセスを獲得すると、この脆弱性はマルウェアのインストール、データ流出、分散型サービス妨害(DDoS)インフラストラクチャの設定、永続化メカニズム、及びレジデンシャルプロキシの悪用を含む、完全なシステム侵害を可能にします。
SentinelOneの脆弱性データベースはこの問題のアクティブな追跡を確認しており、修正されたADMバージョンは即座の修復パスとしてフラグが立てられています。
Censysを使用したインターネット露出分析により、ASUSTORに関連する約19,000のインターネット接続ホストが特定されました。uky007によると、これはグローバルに潜在的に影響を受ける資産の上限推定値を表しています。
この数値は脆弱でアクティブに悪用されているインスタンスの存在を確認するものではありませんが、この重大な欠陥の重大な攻撃面を強調しています。
ASUSTORはセキュリティアドバイザリAS-2026-006の下でCVE-2026-6644に対処し、ADM 5.1.3.RGO1で修正をリリースしました。ASUSTOR ADMユーザーは次の手順を直ちに実行する必要があります:
動作するPoCの公開入手可能性と推定数万のインターネット接続ASUSTORホストを考慮すると、パッチ適用はすべての影響を受けるデプロイメント全体で緊急優先事項として扱われるべきです。
翻訳元: https://cyberpress.org/poc-released-asustor-adm-root-rce/
