●概述：
華芸科技(ASUSTOR Inc.)是華碩子公司，自有品牌ASUSTOR意即ASUS Storage，研發NAS及相關韌、硬體、應用程式，其中ASUSTOR Data Master(ADM)係專屬NAS作業系統，呈現類平板圖形化介面，經研究員Kyle Lovett和Matthew Fulton連袂分析，發覺ADM存在多組預設帳密(root/admin)，駭客能直接操作phpmyadmin、virtualbox等網頁；另因欠缺輸入字串檢查，script參數被注入OS命令後，移aggrecate_js.cgi呼叫執行；而常見的SQL Injection，亦影響Photo Gallery圖庫樹狀清單介面，亦用參數album_id或scope，可製造隱碼攻擊，研究者已通知華芸上揭漏洞，然未獲回應，迄今官網亦無相關處置聲明，僅釋出新版ADM 3.1.3.RHU2修補單項RCE弱點。
●編註：
(1)多組ADM預設帳密
ASUSTOR NAS整機安裝完畢後，出現一組態網頁，告訴操作者設定完成，該網頁公開給任何人存取，不論有無登入身分，故可藉此機會瀏覽每個add-on程式之路徑，接觸同部NAS上安裝之插件程式，正好網頁檔儲存在 /volume1/Web/ 資料夾，也是phpmyadmin、virtualbox、owncloud、photo-gallery等軟體存放處，加上某些既定帳密組合，讓入侵效率提高不少，既能獲得root身分，載入webshell到設備，亦可獲得NAS內用戶檔案，例如：
http://192.168.1.1/phpmyadmin/　帳/密 root:admin
http://192.168.1.1/virtualbox/　帳/密 admin:admin
另外像http://192.168.1.1:8001/portal/　帳/密 nvradmin:nvradmin，儘管權限低於admin，但也能使用很多個別功能網頁，立足於NAS。
(2)命令注入暨RCE
ADM身為NAS入口，自然是攻擊者最直接的目標，在portal/apis/aggrecate_js.cgi介面程式，缺乏輸入值過濾機制，故script參數被嵌入作業系統命令後，再交由cgi呼叫本機shell腳本，駭客經此步驟扮演root，執行各項OS指令，探勘範例如下：
https://192.168.1.1:8001/portal/apis/aggrecate_js.cgi?script=launcher%22%26ls%20-ltr%26%22
URL經字元轉碼後，成為下列網址並執行
https://192.168.1.1:8001/portal/apis/aggrecate_js.cgi?script=launcher”&ls –ltr&”
(3)SQL Injection
ADM提供Photo Gallery程式，圖庫樹狀清單介面有SQL Injection弱點，循photo-gallery/api/album/tree_lists/此URI，結合參數album_id或scope，可製造隱碼攻擊，探勘方式如後：
sqlmap -u https:///photo-gallery/api/album/tree_lists/
--data="album_id=123456789&start=0&limit=100&order=name_asc&api=v2"

sqlmap -u "https://IP/photo-gallery/api/photo/search/"
--data="keyword=jpg&scope=123456789&start=0&limit=100&order=name_asc&api_mode=browse&api=v2"