エレコムの無線LANルータに複数の脆弱性、確認を -JPCERT/CC

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月30日、「JVN#06672778: エレコム製無線LANルーターにおける複数の脆弱性」において、エレコムの複数の無線LANルータに複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、ログイン可能な攻撃者に任意のコマンドを実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

無線LANルーター・中継器のセキュリティ向上のためのファームウェアアップデート実施のお知らせ | エレコム株式会社 ELECOM

脆弱性の情報(CVE)は次のとおり。

CVE-2024-34021 - アップロードファイルの検証が不十分な脆弱性。デバイスにログイン可能な攻撃者は、細工したファイルをアップロードすることで任意のOSコマンドを実行できる
CVE-2024-39607 - OSコマンドインジェクションの脆弱性。デバイスにログイン可能な攻撃者は、細工したリクエストを送信することで任意のOSコマンドを実行できる
CVE-2024-40883 - クロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性。デバイスにログイン中のユーザーが細工されたWebページにアクセスすると、認証情報を変更される可能性がある

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

WRC-2533GS2-B Ver.1.68およびこれ以前のバージョン
WRC-2533GS2-W Ver.1.68およびこれ以前のバージョン
WRC-2533GS2V-B Ver.1.68およびこれ以前のバージョン
WRC-X6000XS-G Ver.1.11およびこれ以前のバージョン
WRC-X1500GS-B Ver.1.11およびこれ以前のバージョン
WRC-X1500GSA-B Ver.1.11およびこれ以前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

WRC-2533GS2-B Ver.1.69およびこれ以降のバージョン
WRC-2533GS2-W Ver.1.69およびこれ以降のバージョン
WRC-2533GS2V-B Ver.1.69およびこれ以降のバージョン
WRC-X6000XS-G Ver.1.12およびこれ以降のバージョン
WRC-X1500GS-B Ver.1.12およびこれ以降のバージョン
WRC-X1500GSA-B Ver.1.12およびこれ以降のバージョン

これらの製品は工場出荷時の設定であれば、自動的にファームウェアアップデートが実施される。しかし、設定を変更したユーザーは、影響を確認して手動でファームウェアアップデートを適用することが推奨されている。
（後藤大地）