スポンサーリンク
WiFiルータの脆弱性はイタチごっこ状態で終息が見えない。
以前もお知らせしているが、1年ぶりにバッファローから製品の問題が見つかったという発表があった。
ネットワーク機器のまとめはこちら。
1年ぶりにバッファローのWiFIルータで脆弱性が見つかった。他社もあると思うがバッファローが目立つのは多数売れているからなのだろうか。
今回の脆弱性は3つ。引用する。
バッファロー 無線LANルータ 脆弱性 出典:バッファロー 以下同じ
- 脆弱性① ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) – CVE-2022-39044
- 脆弱性② ハードコードされた認証情報の使⽤ (CWE-798) – CVE-2022-34840
- 脆弱性③ 認証回避 (CWE-288) – CVE-2022-40966
補足すると、ソフトウェア業界では「ハードコード」とはプログラム中に埋め込まれているという意味だ。この場合は、認証情報、つまりパスワードなどが設定画面から変更できるものではなく、固定で決まったものがファームウェアに焼き付けられている、ということだ。
変更しようがないので対策ができない。厄介だ。
ちなみにCVE~で始まる番号は、IPAが定めている脆弱性の番号だ。それぞれに対して危険度が定義されている。
これら脆弱性による影響はWEBに書かれていることを引用する。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
当該商品にログインしたユーザーによりデバッグ機能にアクセスされ、当該商品上で任意のOSコマンドが実⾏される(脆弱性①)
隣接するネットワーク上の第三者により当該商品の設定を変更される(脆弱性②)
隣接するネットワーク上の第三者により認証を回避され、当該商品に不正にアクセスされる(脆弱性③)
OSコマンドの実行や不正アクセスにより、自宅内、SOHO内のデータを破壊されたり漏洩される可能性がある。
ネットバンクのパスワード、仕事の機密情報など、気を付けるべきことは多い。すぐに対策が必要だ。
対策ファームウェアが出ているものは、即アップデートを。
提供されていないものは使用中止すべきで、すぐに新しいものを買うべきだ。
下記にある製品が対象だ。見えにくい場合は公式WEBで確認を。
以下は対策ファームウェアが提供されている。
バッファロー 無線LANルータ 脆弱性
バッファロー 無線LANルータ 脆弱性
バッファロー 無線LANルータ 脆弱性
以下の製品はファームウェア提供がないので、即使用中止すべき。
バッファロー 無線LANルータ 脆弱性
バッファロー 無線LANルータ 脆弱性
今回のものはファームウェアを研究されて見破られた、という感がある。WEBでファームウェアを提供すれば、だれでもダウンロードでき、バイナリデータのダンプ中に気になる文字列を見つけることがありそうだ。そういう手段で入手したのだろうか。
もっともユーザ登録しないとダウンロードできないとか、ファームウェアを暗号化するなどメーカも対策はしているはず。それでも脆弱性は発見されて悪用される。
いたちごっこは続く。
使用中止になった場合はamazonなどで購入を。
この機会にWiFi6、メッシュ対応にするのもよいだろう。下記記事をご参考までに。
アフィリエイト広告 ここから購入いただきますと当ブログに報酬が支払われ、運営資金になります。
PR
