JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月15日、「JVN#58236836: バッファロー無線LANルーターにおける複数の脆弱性」において、バッファローの複数の無線LANルータに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、任意のOSコマンドを実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

一部Wi-Fiルーター商品における複数の脆弱性とその対処方法(JVN#58236836) | バッファロー

公開された脆弱性の情報(CVE)は次のとおり。

CVE-2024-23486 - パスワードを平文で保存する脆弱性。製品のログインページにアクセス可能な認証されていない攻撃者は、設定された認証情報を窃取できる可能性がある

CVE-2024-26023 - OSコマンドインジェクションの脆弱性。ログイン可能な攻撃者に任意のOSコマンドを実行される可能性がある

○脆弱性の影響を受ける製品

脆弱性の影響を受ける製品およびバージョンは次のとおり。

WCR-1166DS Ver. 1.33より前のバージョン
WSR-1166DHP Ver. 1.15より前のバージョン
WSR-1166DHP2 Ver. 1.15より前のバージョン
WSR-2533DHP Ver. 1.07より前のバージョン
WSR-2533DHPL Ver. 1.07より前のバージョン
WSR-2533DHP2 Ver. 1.11より前のバージョン
WSR-A2533DHP2 Ver. 1.11より前のバージョン

○脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

WCR-1166DS Ver. 1.33およびこれ以降のバージョン
WSR-1166DHP Ver. 1.15およびこれ以降のバージョン
WSR-1166DHP2 Ver. 1.15およびこれ以降のバージョン
WSR-2533DHP Ver. 1.07およびこれ以降のバージョン
WSR-2533DHPL Ver. 1.07およびこれ以降のバージョン
WSR-2533DHP2 Ver. 1.11およびこれ以降のバージョン
WSR-A2533DHP2 Ver. 1.11およびこれ以降のバージョン

バッファローによると、設定の「Internetリモートアクセス設定を許可する」を有効にしている場合、インターネット側(WAN)から攻撃を実行される可能性があり注意が必要。当該製品を運用している管理者には、開発者の提供する情報を確認してアップデートを実施することが推奨されている。
(後藤大地)

画像提供:マイナビニュース