Trusted Design

CVE-2018-14839 の詳細

CVEの情報

説明:
LG N1A1 NAS 3718.510 is affected by: Remote Command Execution. The impact is: execute arbitrary code (remote). The attack vector is: HTTP POST with parameters.

CVE更新日: 2019-05-14 21:29:00.247000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-03-25

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.892960000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2018-14839の解説

1. 脆弱性の概要

CVE-2018-14839は、LG N1A1 NAS (ネットワークアタッチトストレージ) のファームウェアバージョン 3718.510 におけるリモートコマンド実行 (Remote Command Execution, RCE) の脆弱性です。この脆弱性は、OSコマンドインジェクション(Improper Neutralization of Special Elements used in an OS Command)に分類されます。攻撃者は、HTTP POSTリクエストのパラメータを介して外部から影響を受ける入力を使用し、OSコマンドの一部を構築する際に特殊文字が適切に無効化されないことを悪用し、任意のコードをリモートで実行することができます。

この脆弱性は、CISA (Cybersecurity and Infrastructure Security Agency) の既知の悪用されている脆弱性 (Known Exploited Vulnerabilities, KEV) カタログに追加されており、実際に攻撃者によって悪用されていることが確認されています。

1.1 影響

この脆弱性が悪用されると、攻撃者は対象のデバイス上で任意のコードをリモートで実行することができます。 これにより、機密情報の漏洩、データの改ざん、システムの可用性の妨害といった、機密性、完全性、可用性に対する重大な影響が生じる可能性があります。 攻撃者は、不正な権限でコマンドを実行し、ファイルシステムへのアクセス、システムの制御、さらには特権昇格を通じてルートアクセスを取得する可能性もあります。

1.2 深刻度

CVE-2018-14839の深刻度は「緊急 (Critical)」と評価されており、CVSSv3.1のベーススコアは9.8です。 CVSSv2のベーススコアは7.5で「High」と評価されています。

  • CVSSv3.1 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Attack Vector (AV): NETWORK - ネットワーク経由で悪用可能です。
    • Attack Complexity (AC): LOW - 攻撃の複雑さは低いです。
    • Privileges Required (PR): NONE - 攻撃には特権を必要としません。
    • User Interaction (UI): NONE - ユーザーの操作は不要です。
    • Scope (S): UNCHANGED - 脆弱性のスコープは変更されません。
    • Confidentiality Impact (C): HIGH - 機密性への影響は高いです。
    • Integrity Impact (I): HIGH - 完全性への影響は高いです。
    • Availability Impact (A): HIGH - 可用性への影響は高いです。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、LG N1A1 NASデバイスのファームウェアに存在するため、特定のOSバージョンに依存するものではありません。

2.2 影響を受ける設定

影響を受けるのは、LG N1A1 NAS ファームウェアバージョン 3718.510 です。

攻撃は、HTTP POSTのpasswordパラメータがサニタイズされていないためにトリガーされます。特定のユーザー名が存在する場合にのみ脆弱な関数が呼び出される、という条件があったと報告されていますが、悪用の可能性は残ります。

3. 影響を受けた時の兆候

この脆弱性が悪用された際の直接的な兆候は、攻撃者が実行する操作に依存します。一般的にリモートコード実行の兆候としては以下が考えられますが、本脆弱性特有の兆候については明確な情報がありません。

  • NASデバイスからの予期しないネットワークトラフィック。
  • 不審なプロセスやサービスが実行されている。
  • ファイルシステムの予期しない変更 (ファイルが作成、変更、削除されるなど)。
  • システムログに異常な記録がある。
  • デバイスのパフォーマンス低下。
  • システムへの不正なアクセス試行。

4. 推奨対策

4.1 本対策

ベンダーから提供される更新プログラムを適用することが、最も推奨される対策です。 CISAも、ベンダーの指示に従って更新を適用するよう推奨しています。

4.2 暫定回避策(緩和策)

  • 入力の検証とサニタイズ: 可能な場合は、ユーザーから提供される入力(特にパスワードのようなHTTP POSTパラメータ)がOSコマンドで使用される前に、適切に検証およびサニタイズされていることを確認します。
  • 最小特権の原則の適用: 脆弱なプロセスが最小限の特権で実行されるように設定し、仮に侵害された場合でも攻撃者がシステムに与える損害を制限します。
  • サンドボックス環境での実行: アプリケーションを「jail」やサンドボックス環境で実行し、プロセスとOS間の厳格な境界を強制することで、特定のファイルへのアクセスやコマンドの実行を制限する可能性があります。
  • ネットワークアクセス制限: 外部からのNASデバイスへの不必要なネットワークアクセスを制限し、信頼できるネットワークからのアクセスのみを許可することで、攻撃対象領域を減らします。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る