見出し画像

「エレコムの無線LANルータに複数の脆弱性、アップデートを - JPCERT/CC」

かちょー@エンジニア

PCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月27日、「JVN#24885537: エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性」https://jvn.jp/jp/JVN24885537/において、エレコムの無線LANルータおよび無線アクセスポイントに複数の脆弱性が存在するとして、注意を喚起しました。これら脆弱性を悪用されると、認証されていない第三者に遠隔から任意のコードを実行される可能性があります。

https://news.mynavi.jp/techplus/article/20240829-3013977/

                            出典:TECH+

<脆弱性に関する情報>

脆弱性に関する情報は次のページにまとまっています。無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート実施のお願い | エレコム株式会社 ELECOM
https://www.elecom.co.jp/news/security/20240827-01/脆弱性の情報(CVE)は次のとおりです。
・CVE-2024-34577、CVE-2024-42412 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。ログイン中のユーザーが攻撃者のWebサイトにアクセスすると、任意のスクリプトを実行される可能性がある
・CVE-2024-39300 - Telnetに不十分な認証処理の脆弱性。Telnetを有効にしている場合、認証していない攻撃者にログインされ設定を変更される可能性がある
・CVE-2024-43689 - バッファーオーバーフローの脆弱性。攻撃者は細工したHTTPリクエストを使用して、任意のコードを実行する可能性がある

<対象製品とファームウェアバージョン>

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおりです。
WRC-X3000GS2-B Ver.1.09より前のバージョン
WRC-X3000GS2-W Ver.1.09より前のバージョン
WRC-X3000GS2A-B Ver.1.09より前のバージョン
WAB-I1750-PS Ver.2.0.4より前のバージョン
WAB-S1167-PS Ver.2.0.4より前のバージョン脆弱性が修正された製品およびファームウェアバージョンは次のとおりです。
WRC-X3000GS2-B Ver.1.09およびこれ以降のバージョン
WRC-X3000GS2-W Ver.1.09およびこれ以降のバージョン
WRC-X3000GS2A-B Ver.1.09およびこれ以降のバージョン
WAB-I1750-PS Ver.2.0.4およびこれ以降のバージョン
WAB-S1167-PS Ver.2.0.4およびこれ以降のバージョンこれら脆弱性のうち最も深刻度が高いものは重要(Important)と評価されており注意が必要です。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨しています。

<バージョンアップについてのメーカーHP>

下記URLでファームウェアのバージョン確認と更新ができます。
https://qa.elecom.co.jp/faq_detail.html?id=8206&_gl=1*19d6uie*_gcl_au*NDkyMTIxMzQyLjE3MjQ4OTQ2NTI.*_ga*MTM2MTg2MjY3NS4xNzI0ODk0NjUy*_ga_0F81RERH28*MTcyNDg5NDY1Mi4xLjEuMTcyNDg5NDkxMS41Mi4wLjA.機種の設定によっては手動での更新となりますので、下記のURLから確認してみて下さい。
https://www.elecom.co.jp/news/security/20240827-01/


最近、周辺機器に関する脆弱性のニュースが目立ちますね。
PC本体から周辺機器へと攻撃対象が移行していることが推測されます。
今後もこの傾向は続くと思われますので、周辺機器のアップデートを怠らないよう注意が必要です。
今回は監視カメラなどに比べてユーザーが多く皆さんにも身近かもしれません。
ELECOM社製の無線LANルーターをお使いの方は必ず確認をしましょう。


★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の1つです!



⇒ 専用ページはこちら
★-------------------------------------------★