网络附加存储(NAS)设备已成为家庭和业务网络的重要组成部分,提供集中存储和数据访问。revealedJPERT/CC最近的一项咨询揭示了I-O DATA DEVICE,INC中的多个关键漏洞。“HDL-T系列”NAS设备,对数据安全和网络完整性构成重大风险。

JPCERT/CC vulnerabilities咨询强调了影响 I-O DATA HDL-T 系列的以下关键漏洞:

操作系统命令注入(CVE-2025-32002,CVSS 9.8):这是启用“远程链接3函数”时存在的关键漏洞。它允许远程、未经身份验证的攻击者在 NAS 设备上执行任意操作系统命令。关键功能的缺失身份验证(CVE-2025-32738,CVSS 5.3vulnerability):此漏洞允许远程、未经身份验证的攻击者更改产品设置。

漏洞影响以下具有固件 Ver.1.21 及更早版本的 I-O DATA HDL-T 系列产品:

• HDL-TC1
• HDL-TC500发动机
• HDL-T1NV
• HDL-T1WH
• HDL-T2NV
• HDL-T2WH
• HDL-T3NV
• HDL-T3WH

vulnerabilities利用这些漏洞可能带来严重后果:

完整的系统妥协:操作系统命令注入漏洞(CVE-2025-320022)允许攻击者执行任意命令,可能导致完全控制NAS设备。这可能导致数据窃取、修改或删除,以及恶意软件的安装。未经授权的配置更改:缺少身份验证漏洞(CVE-2025-32738)使攻击者能够未经授权修改 NAS 设备的设置。这可能涉及更改访问控制、网络设置或其他配置,导致进一步的安全漏洞或服务中断。

缓解这些漏洞的推荐解决方案是更新受影响的HDL-T系列NAS设备的固件。I-O DATA DEVICE, INC. 发布了 HDL-T 系列固件 Ver.1.22 解决了这些问题。