【脆弱性】バッファローとNECのWiFiルータに脆弱性 すぐ対策を
スポンサーリンク
バッファローとNECからWiFiルータ製品の脆弱性問題が見つかったというニュースがあった。
ネットワーク機器のまとめはこちら。
バッファロー
この手のニュースは半年に1回ぐらいで聞かれる。WiFiの規格も数年で更新されるので、もうWiFi5を使う人は更新のタイミングと考えるほうがいいのかも。
バッファロー WiFiルータ 脆弱性 2604 出典:バッファロー
脆弱性
JVN#83788689により、以下の脆弱性が発見されている。
- 情報漏洩 設定情報を窃取される
- OSコマンドインジェクション 任意のOSコマンドを実行される
- コードインジェクション 任意のコードを実⾏される
- 認証回避 認証なしにファームウェア更新を実⾏されたり、設定情報を窃取されたりする
- デバッグ機能 任意の OS コマンドを実⾏される
- サービス運用妨害(DoS) 再起動させられる
つまりパスワードをデフォルトのものから変えてないと、危険な状況だ。
対象製品
製品によって対象の脆弱性が当てはまったり、当てはまらなかったり。詳細は公式ページを参照して。
以下の製品はファームウェアのアップデートで対策できるそうだ。
WiFiルータ
- WCR-1166DHPL
- WSR3600BE4-KH
- WSR3600BE4P
- WXR-1750DHP
- WXR-1750DHP2
- WXR18000BE10P
- WXR-1900DHP
- WXR-1900DHP2
- WXR-1900DHP3
- WXR-5950AX12
- WXR-6000AX12B
- WXR-6000AX12P
- WXR-6000AX12S
- WZR-1166DHP
- WZR-1166DHP2
- WZR-1750DHP
- WZR-1750DHP2
- WZR-S1750DHP
- WRM-D2133HP
- WRM-D2133HS
- WTR-M2133HP
- WTR-M2133HS
WiFi中継器
VPNルータ
アクセスポイント
- WAPM-1266R
- WAPM-1266WDPR
- WAPM-1266WDPRA
- WAPM-1750D
- WAPM-2133R
- WAPM-2133TR
- WAPM-AX4R
- WAPM-AX8R
- WAPM-AXETR
- WAPS-1266
- WAPS-AX4
FREESPOT
サポート終了の対象製品
以下のWi-Fiルーターはサポート期間が終わっているので対策されたファームウェアは提供されない。従い使用を中止して新しいWiFiルータに買い替えることが推奨される。
- WZR-600DHP
- WZR-600DHP2
- WZR-600DHP3
- WZR-900DHP
- WZR-900DHP2
- WZR-S600DHP
- WZR-S900DHP
詳細はバッファローのWEBページを参照。
NEC
NECのAtemでも脆弱性が報告されている。
NEC WiFiルータ 脆弱性 2604 出典:NEC
脆弱性の内容
以下の脆弱性が報告されている。
- アクセス制限不備の脆弱性(CVE-2026-4309) 任意の設定変更をされるなどの可能性
- パストラバーサルの脆弱性(CVE-2026-4619) パストラバーサルにより任意のファイルが上書きされる可能性
- OSコマンドインジェクションの脆弱性(CVE-2026-4620) 任意のOSコマンドが実行される可能性
- ドキュメント化されていないバックドアの脆弱性(CVE-2026-4621) 製品にアクセスした第三者によってtelnetを有効化される可能性
- OSコマンドインジェクションの脆弱性(CVE-2026-4622) 任意のコマンドを実行できる可能性
対象製品
■CVE-2026-4309
- W1200EX(-MS) すべてのバージョン
- WG1200HP2 すべてのバージョン
- WG1900HP すべてのバージョン
- WG1200HS2 すべてのバージョン
- WG1800HP3 すべてのバージョン
- WG1200HP3 すべてのバージョン
- WG1900HP2 すべてのバージョン
- WG1200HS3 すべてのバージョン
- WG1800HP4 すべてのバージョン
- WG1200HP4 すべてのバージョン
- WG1200HS4 すべてのバージョン
- WX1500HP Ver.1.4.2より前のバージョン
- WG2600HS Ver.1.7.2より前のバージョン
- WF1200CR Ver.1.6.0より前のバージョン
- WG1200CR Ver.1.5.0より前のバージョン
- WG2600HP4 Ver.1.4.2より前のバージョン
- WG2600HM4 Ver.1.4.2より前のバージョン
- WG2600HS2 Ver.1.3.2より前のバージョン
- WX3000HP Ver.2.5.0より前のバージョン
- WX3600HP Ver.1.5.3より前のバージョン
■CVE-2026-4619
- WX3600HP Ver.1.5.3より前のバージョン
■CVE-2026-462
- WX1500HP Ver.1.4.2より前のバージョン
- WX3600HP Ver.1.5.3より前のバージョン
■CVE-2026-4621
- W1200EX(-MS) すべてのバージョン
- WG1200HP2 すべてのバージョン
- WG1900HP すべてのバージョン
- WG1200HS2 すべてのバージョン
- WG1800HP3 すべてのバージョン
- WG1200HP3 すべてのバージョン
- WG1900HP2 すべてのバージョン
- WG1200HS3 すべてのバージョン
- WG1800HP4 すべてのバージョン
- WG1200HP4 すべてのバージョン
- WG1200HS4 すべてのバージョン
- WX1500HP Ver.1.4.2より前のバージョン
- WG2600HS Ver.1.7.2より前のバージョン
- WF1200CR Ver.1.6.0より前のバージョン
- WG1200CR Ver.1.5.0より前のバージョン
- WG2600HP4 Ver.1.4.2より前のバージョン
- WG2600HM4 Ver.1.4.2より前のバージョン
- WG2600HS2 Ver.1.3.2より前のバージョン
- WX3000HP Ver.2.5.0より前のバージョン
- WX3000HP2 Ver.1.3.2より前のバージョン
- WX3600HP Ver.1.5.3より前のバージョン
■CVE-2026-4622
- WG2600HS Ver.1.7.2より前のバージョン
- WF1200CR Ver.1.6.0より前のバージョン
- WG1200CR Ver.1.5.0より前のバージョン
- WG2600HP4 Ver.1.4.2より前のバージョン
- WG2600HM4 Ver.1.4.2より前のバージョン
- WG2600HS2 Ver.1.3.2より前のバージョン
- WX3000HP Ver.2.5.0より前のバージョン
- WX3000HP2 Ver.1.3.2より前のバージョン
対策方法
製品によって異なるというのはバッファローと同じ。中には使用中止が推奨のものもあるだろう。
詳細はAtemのWEBページを参照。
PR
著者プロフィール
irvine
ソフトウェア設計、ストレージ設計を経てクラウドにかかわる仕事をしている、東京郊外在住のエンジニア。
仕事でUS,UK,SGなどの国とかかわる。
自作PC、スマホ、タブレット、AV機器好き。ドラクエウォークはルーチンワーク。Linuxやストレージ、IT業界の動向は興味を持っている。
新しい機器、サービスに興味あり。年数回のレビュー(自腹購入、ご依頼)と発表されて興味があるものの新製品机上レビューをやっている。
2022年はJAPANNEXT様のアンバサダーを務めました。
<<
" >
