DrayTek製ルータに緊急の脆弱性、アップデートを

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

Vigor1000B、Vigor2962、Vigor3910 4.3.2.8よりも前、または4.4.3.1よりも前のバージョン
Vigor3912 4.3.6.1よりも前のバージョン
Vigor165、Vigor166 4.2.7よりも前のバージョン
Vigor2135、Vigor2763、Vigor2765、Vigor2766 4.4.5.1よりも前のバージョン
Vigor2865、Vigor2866、Vigor2915 4.4.5.3よりも前のバージョン
Vigor2620、VigorLTE200 3.9.8.9よりも前のバージョン
Vigor2133、Vigor2762、Vigor2832 3.9.9よりも前のバージョン
Vigor2860、Vigor2925 3.9.8よりも前のバージョン
Vigor2862、Vigor2926 3.9.9.5よりも前のバージョン
Vigor2952、Vigor3220 3.9.8.2よりも前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

Vigor1000B、Vigor2962、Vigor3910 4.3.2.8または4.4.3.1
Vigor3912 4.3.6.1
Vigor165、Vigor166 4.2.7
Vigor2135、Vigor2763、Vigor2765、Vigor2766 4.4.5.1
Vigor2865、Vigor2866、Vigor2915 4.4.5.3
Vigor2620、VigorLTE200 3.9.8.9
Vigor2133、Vigor2762、Vigor2832 3.9.9
Vigor2860、Vigor2925 3.9.8
Vigor2862、Vigor2926 3.9.9.5
Vigor2952、Vigor3220 3.9.8.2

上記のうちVigor2620、VigorLTE200、Vigor2133、Vigor2762、Vigor2832、Vigor2860、Vigor2925、Vigor2862、Vigor2926、Vigor2952、Vigor3220の11製品はすでにサポート終了(EOL: End-of-Life)となっている。DrayTekはこれら製品に対しても修正パッチを公開しているが、交換の検討が望まれている。
○影響と対策

影響を受けるDrayTekのルータは個人および企業向けに世界中で販売されている。約70万台のデバイスがインターネットからアクセス可能とされ、国内にも多くのユーザーがいることが確認されている。

発見された脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。Forescout Research Labsは当該製品の管理者に対し、影響を確認して速やかにアップデートすることを推奨している。

また、DrayTekはこのアップデートに加え、2020年に公開したセキュリティアドバイザリー「Vigor3900 / Vigor2960 / Vigor300B Router Web Management Page Vulnerability (CVE-2020-8515) | DrayTek」を確認して、追加の対策を実施することも推奨している。
（後藤大地）