最近、ASUSTOR NASのオペレーティングシステムであるADM(ASUSTOR Data Master)において、重大なコマンドインジェクション脆弱性CVE-2026-6644が公開されました。本脆弱性は、ADMのPPTP VPN Client機能で発見されたもので、管理者権限を持つ攻撃者が制限されたWeb管理環境を回避し、NASの基盤となるオペレーティングシステム上で任意のコマンドを実行できるようにするものです。
ASUSTORのセキュリティアドバイザリによると、本脆弱性はユーザー入力値がシステムシェルへ渡される前に十分に検証されないことにより発生します。脆弱な入力値が pppd 設定ファイルの pty ディレクティブに反映され、その後 /bin/shを通じて実行されることで、root権限でのコマンド実行につながる可能性があります。
影響を受けるバージョンは、ADM 4.1.0から4.3.3.RR42まで、およびADM 5.0.0から5.1.2.REO1までです。ASUSTORは、ADM 5.1.3.RGO1およびADM 4.3.3.RSU1で本問題を修正しました。
本記事では、CVE-2026-6644の技術的構造と侵害フローを分析し、外部に公開されたASUSTOR ADM管理インターフェースが本脆弱性と結びついた場合に、どのような攻撃対象領域を形成するのかを考察します。
CVE-2026-6644脆弱性の概要
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-6644 |
| 影響製品 | ASUSTOR Data Master(ADM) |
| 脆弱な機能 | PPTP VPN Client |
| 脆弱性の種類 | OS Command Injection |
| CWE | CWE-78 |
| CVSSスコア | 9.1 Critical(CVSS 3.1), 9.4 Critical(CVSS 4.0) |
| 影響バージョン | ADM 4.1.0 ~ 4.3.3.RR42, ADM 5.0.0 ~ 5.1.2.REO1 |
| パッチバージョン | ADM 5.1.3.RGO1 以上, ADM 4.3.3.RSU1 以上 |
| 攻撃条件 | ADM管理者認証が必要 |
| 影響 | root権限でのコマンド実行、NASの完全掌握が可能 |
CVE-2026-6644は、ADMのPPTP VPN Client機能で発生する認証後のコマンドインジェクション脆弱性です。攻撃者は、ADM管理インターフェースに管理者権限でアクセスした後、PPTP VPN接続設定の過程で細工されたサーバーアドレス値を入力できます。この値が適切にエスケープまたは検証されない状態でpppd設定ファイルに記録されると、その後pppdが当該値を/bin/sh通じて実行し、任意コマンドの実行が可能になります。
重要なのは、本脆弱性が事前認証型(pre-authentication)のRCEではないという点です。攻撃者は、まずADM管理インターフェースに管理者権限でアクセスする必要があります。しかし、NAS機器は外部ストレージ、バックアップサーバー、メディアサーバー、小規模業務用ファイルサーバーなどとして運用されるケースが多く、管理インターフェースがインターネットに直接公開されている環境や、デフォルト管理者アカウントが変更されていない環境では、実際のリスクが大きく高まります。ある研究者は、デフォルト管理者アカウントまたは脆弱な管理者パスワードが維持されている環境では、外部に公開されたADM管理インターフェースが初期アクセス経路として悪用される可能性があると指摘しています。
技術的原因および攻撃フロー分析
CVE-2026-6644の本質は、ADMのPPTP VPN Client設定過程において、ユーザー入力値が十分に検証されないままシステムコマンドの実行経路へ渡される点にあります。本脆弱性は、ADMの/portal/apis/settings/vpn.cgiで発生します。当該ハンドラーは、PPTP VPN接続を構成する過程で、ユーザーが入力したサーバーアドレス値を pppd 設定ファイルの ptyディレクティブに記録します。問題は、このサーバーアドレス値が、別途エスケープ処理や入力検証を受けることなく反映され得る点です。
pppdはpty値を処理する過程で、/bin/shを通じてコマンドを実行できます。そのため、攻撃者がADM管理者権限を取得した後、PPTPサーバーアドレス欄に細工された文字列を入力すると、本来はVPN接続先情報を指定するための値が、シェルコマンドとして解釈される可能性があります。この場合、攻撃者は制限されたADM Web管理環境を回避し、NASの基盤となるオペレーティングシステム上でroot権限のコマンドを実行できます。
本脆弱性は事前認証型RCEではないため、攻撃者はまずADM管理者権限を取得する必要があります。しかし、NAS管理ページがインターネットに直接公開されており、デフォルトアカウント、脆弱なパスワード、流出した認証情報が使用されている環境では、管理者認証の段階が実質的な攻撃障壁として機能しない可能性があります。特にNASは、業務文書、バックアップデータ、アカウント情報、ログ、開発成果物などが保存されるデータハブとして使用されるケースが多いため、コマンド実行に成功した後は、ファイル窃取、バックアップデータの削除、ランサムウェア配布、内部ネットワーク偵察、バックドア設置などへ攻撃範囲が拡大する可能性があります。
結論として、CVE-2026-6644は単なるPPTP VPN Client機能の不具合ではありません。外部に公開されたADM管理インターフェースと脆弱なアカウント管理が組み合わさることで、NAS全体の掌握につながり得るコマンドインジェクション脆弱性です。同一の処理フローにおいて、ユーザー名およびパスワードパラメータには一定水準のエスケープ処理が適用されている一方、サーバーアドレス値には同様の保護ロジックが適用されていませんでした。この点から、特定の入力フィールドにおける検証漏れが、致命的な実行経路へ拡張された事例と見ることができます。
PoC公開と実際の攻撃可能性
CVE-2026-6644は、パッチ適用後に研究者による分析とともにPoCが公開されました。研究者は、公開されたスクリプトについて、実際のASUSTOR機器に接続して攻撃を実行するツールではなく、脆弱な fprintf フォーマットとpppdにおける/bin/sh -cの実行フローをPythonで再現する、最小限のローカル再現コードであると説明しています。
しかし、PoCが最小再現コードであるという点は、リスクを低下させるものではありません。脆弱性の原理が公開されており、影響を受けるバージョン、脆弱な関数、入力フィールド、実行経路が比較的明確に説明されているためです。攻撃者は公開された分析をもとに、実際のADM環境に合わせたエクスプロイトを再構成できる可能性があります。
特に、本脆弱性は事前認証型RCEではありませんが、以下の条件が組み合わさる場合、実際に悪用される可能性が高まります。
- ADM管理インターフェースがインターネットに直接公開されている場合
- デフォルト管理者アカウントまたは脆弱なパスワードが使用されている場合
- ADMファームウェアが長期間アップデートされていない場合
- PPTP VPN Client機能が有効化されている、またはアクセス可能な状態である場合
- NASが内部の重要データ保存領域として使用されている場合
したがって、CVE-2026-6644のリスクは、単に「管理者認証が必要な脆弱性」として過小評価すべきではありません。実際の攻撃対象領域は、外部に公開された管理インターフェース、アカウントのセキュリティレベル、NASの運用場所、保存データの機微性によって決まります。
Criminal IPで観測した外部公開ASUSTOR ADM資産
CVE-2026-6644の実際の攻撃対象領域を評価するには、脆弱性そのものだけでなく、インターネットからアクセス可能なASUSTOR関連資産がどの程度存在するのかを確認する必要があります。ASUSTOR NASはWebベースの管理インターフェースやHTTPSサービスを提供しているケースが多く、機器で使用される証明書情報は、外部公開資産を識別する手がかりとなります。
Criminal IP IT資産検索では、以下のクエリを活用して、ASUSTOR関連証明書を使用する外部公開資産を調査できます。
Criminal IP 検索クエリ: ssl_issuer_organization: “Asustor”
当該クエリは、SSL/TLS証明書の発行者組織フィールドに「Asustor」が含まれる資産を検索します。つまり、ASUSTOR NASまたはASUSTOR関連サービスと推定される外部公開資産を識別する際に活用できます。2026年5月12日時点で、Criminal IP IT資産検索において当該クエリを検索した結果、14,537件の検索結果が確認されました。
ただし、このクエリはASUSTOR関連資産を把握するための探索クエリであり、検索されたすべての資産がCVE-2026-6644に対して脆弱であることを意味するものではありません。実際の脆弱性有無を判断するには、ADMバージョン、管理インターフェースへのアクセス可否、PPTP VPN Client機能の使用有無、パッチ適用状況を追加で確認する必要があります。
個別資産を分析すると、ASUSTOR関連のWebサービスが外部に公開されている状況を、より具体的に確認できます。例えば、特定の資産ではTCP 80番ポートと443番ポートがいずれも開放されており、それぞれHTTPおよびHTTPSサービスが正常応答を示すステータスコード200を返していました。サービス製品はApacheとして識別され、ページタイトルは Ready to Serve!と表示されていました。
特に、HTTP応答バナーでは以下のようなHTML情報が確認されました。
Copyright (c) 2022 Asustor Inc. All rights reserved.
これは、当該WebサービスがASUSTOR NAS、またはASUSTORが提供する基本Webサービスと関連している可能性を示しています。また、同一資産でHTTPとHTTPSがともに公開されている点は、外部ユーザーがWebベースのサービスへ直接アクセスできる状態であることを意味します。
このような個別資産分析は、単にASUSTOR関連の証明書が存在するかを確認するだけでなく、実際にどのポートが開放されているのか、どのWebサーバーが応答しているのか、基本ページまたは管理ページに関連する文字列が露出しているのかを確認する際に活用できます。CVE-2026-6644は管理者認証後に悪用される脆弱性であるため、攻撃者はまず、このような外部公開Webサービスを通じてASUSTOR資産を識別し、その後、アカウント窃取、デフォルトアカウントの悪用、認証情報の再利用などを通じて管理者アクセスを試みる可能性があります。
パッチ状況および対応方法
ASUSTORは、CVE-2026-6644をAS-2026-006セキュリティアドバイザリとして公開し、ADM 5.x系ではADM 5.1.3.RGO1以上、ADM 4.x系ではADM 4.3.3.RSU1以上へ更新するよう案内しています。本脆弱性については、ADM 5.x系では2026年4月27日、ADM 4.x系では2026年5月4日に修正版が公開されました。
組織はまず、ADMファームウェアを最新バージョンへアップデートし、外部に公開されたADM管理インターフェースを点検する必要があります。WANから直接アクセス可能な管理ページは遮断するか、内部ネットワークおよび信頼されたVPN経由でのみアクセスできるよう制限する必要があります。また、デフォルト管理者アカウント、脆弱なパスワード、不要なPPTP VPN Client機能、使用していないサービスやポートもあわせて整理する必要があります。
すでに管理者アカウントの侵害が疑われる場合は、ADM管理者アカウント、NASに保存された証明書およびキーファイル、共有フォルダー権限、外部接続設定、VPNおよびリモートアクセス設定、インストール済みアプリ、予約タスクまで含めて点検する必要があります。NASは組織の主要データやバックアップが保存される機器であるため、脆弱なバージョンへのパッチ適用だけでなく、データ流出、バックアップ改ざん、持続性確保の可能性まで確認する対応が求められます。
FAQ
Q1. CVE-2026-6644は認証なしで直ちに悪用可能な脆弱性ですか?
いいえ。CVE-2026-6644は事前認証型RCEではなく、管理者認証が必要なコマンドインジェクション脆弱性です。攻撃者は、まずADM管理インターフェースに管理者権限でアクセスする必要があります。ただし、デフォルトアカウント、脆弱なパスワード、流出した認証情報、外部に公開された管理ページが組み合わさる場合、実際に悪用される可能性は大きく高まります。
Q2. 管理者認証が必要であるにもかかわらず、なぜCriticalに分類されるのですか?
認証条件がある場合でも、悪用に成功するとroot権限で任意のコマンドを実行できるためです。NAS機器は機微なデータやバックアップファイルを保存しているケースが多く、機器の掌握がデータ窃取、ランサムウェア、内部侵害の拡大につながる可能性があります。NVDはCVSS 3.1基準で9.1 Critical、ASUSTORはCVSS 4.0基準で9.4 Criticalと評価しています。
Q3. どのバージョンが影響を受けますか?
影響を受けるバージョンは、ADM 4.1.0からADM 4.3.3.RR42まで、およびADM 5.0.0からADM 5.1.2.REO1までです。ADM 5.xの利用者はADM 5.1.3.RGO1以上へ、ADM 4.xの利用者はADM 4.3.3.RSU1以上へアップデートする必要があります。
結論
CVE-2026-6644は、NAS管理インターフェースのセキュリティの重要性を改めて示す事例です。本脆弱性は事前認証型RCEではありませんが、管理者権限を取得した攻撃者が制限されたWeb環境を回避し、NASのオペレーティングシステム上でroot権限のコマンドを実行できる点で、非常に高いリスクを持ちます。特にNASは単なる補助機器ではなく、組織のファイル、バックアップ、認証情報、業務データが長期間蓄積される中核的な保存領域です。
本脆弱性の本質は、PPTP VPN Client機能における1つの入力値検証漏れにあります。しかし、実際のセキュリティリスクはそれよりも広範です。外部に公開されたADM管理インターフェース、変更されていないデフォルトアカウント、遅延したファームウェアアップデート、不要に有効化されたVPN機能が組み合わさると、単一のコマンドインジェクション脆弱性は、NAS全体を掌握する攻撃経路へと拡張されます。
したがって、対応の出発点はパッチ適用だけではありません。まず、インターネット上に公開されたASUSTOR ADM資産を識別し、管理インターフェースが誰に対して開放されているのかを確認する必要があります。そのうえで、最新ファームウェアへのアップデート、WANアクセスの遮断、管理者アカウントの強化、不要なサービスの無効化、ログおよび設定変更履歴の点検をあわせて実施する必要があります。
NASセキュリティは、保存装置そのものの問題ではなく、組織データ保護の問題です。CVE-2026-6644は、外部に公開された管理インターフェースと脆弱な設定が組み合わさることで、データ保存領域が攻撃者の実行環境へ転換され得ることを示しています。
なお、関連してLiteLLM AIゲートウェイを標的としたSQLインジェクション脆弱性の記事も参考にできます。
Criminal IP(search.criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース : Criminal IP (https://www.criminalip.io/ja), BleepingComputer(https://www.bleepingcomputer.com/news/security/cisa-warns-of-five-year-old-gitlab-flaw-exploited-in-attacks/), CyberSecurityNews (https://cybersecuritynews.com/cisa-warns-gitlab-ssrf-vulnerability-exploit/)
