情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は、バッファロー製の複数のWi-Fiルーターに、情報漏えいおよびアクセス制限不備の脆弱性や遠隔の第三者によりデバッグ機能を有効化される問題が存在すると2021年4月27日に発表しました。
株式会社バッファローが提供する複数のルータ製品には、情報漏えいおよびアクセス制限不備の脆弱性が存在します。
JPCERT/CC:JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
バッファロー製の複数のネットワーク機器には、遠隔の第三者によりデバッグ機能を有効化される問題が存在します。
JPCERT/CC:JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
スポンサードサーチ
目次
脆弱性の内容
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- CVE-2021-3511 遠隔の第三者により、当該機器の設定情報等を窃取される。
- CVE-2021-3512 遠隔の第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される。
こちらの脆弱性については、開発者が提供する情報をもとに、脆弱性を修正した以下のファームウェアにバージョンアップをしてください。
- BHR-4GRV ファームウェア Ver.2.00
- DWR-HP-G300NH ファームウェア Ver.1.84
- HW-450HP-ZWE ファームウェア Ver.2.00
- WHR-300HP ファームウェア Ver.2.00
- WHR-300 ファームウェア Ver.2.00
- WHR-G301N ファームウェア Ver.1.87
- WHR-HP-G300N ファームウェア Ver.2.00
- WHR-HP-GN ファームウェア Ver.1.87
- WPL-05G300 ファームウェア Ver.1.88
- WZR-450HP-CWT ファームウェア Ver.2.00
- WZR-450HP-UB ファームウェア Ver.2.00
- WZR-HP-AG300H ファームウェア Ver.1.76
- WZR-HP-G300NH ファームウェア Ver.1.84
- WZR-HP-G301NH ファームウェア Ver.1.84
- WZR-HP-G302H ファームウェア Ver.1.86
- WZR-HP-G450H ファームウェア Ver.1.90
- WZR-300HP ファームウェア Ver.2.00
- WZR-450HP ファームウェア Ver.2.00
- WZR-600DHP ファームウェア Ver.2.00
- WZR-D1100H ファームウェア Ver.2.00
- FS-HP-G300N ファームウェア Ver.3.33
- FS-600DHP ファームウェア Ver.3.40
- FS-R600DHP ファームウェア Ver.3.40
- FS-G300N ファームウェア Ver.3.14
また、CVE-2021-20716では、報告された遠隔の第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性があることが指摘されています。
ただし、当該製品のサポートは終了しており、修正アップデートは提供されないため、製品の使用を停止し、代替製品へ移行することを推奨しています。
詳細は開発者が提供する情報を参照してください。
