2021年1月27日 10:48
エレコム株式会社とロジテック株式会社のネットワーク関連製品に、それぞれ複数の脆弱性が報告されている。
エレコムの対象製品は、無線ルーター「WRC-1467GHBK-A」、「WRC-300FEBK」、「WRC-300FEBK-A」、「WRC-300FEBK-S」、「WRC-F300NF」、ネットワークカメラ「NCC-EWF100RMWH2」、プリントサーバー「LD-PS/U1」、Androidアプリ「ELECOM File Manager」。
ロジテックの対象製品は、無線ルーター「LAN-WH450N/GR」、「LAN-W300N/PR5B」、「LAN-W300N/PGRB」、「LAN-W300N/RS」。
エレコム製品で報告された脆弱性は下記のとおり。
- アクセス制限の不備(CVE-2021-20643、CVSS v3による評価スコアは5.3)
- 管理画面におけるスクリプトインジェクション(CVE-2021-20644、同5.2)
- 格納型クロスサイトスクリプティング(CVE-2021-20645、同5.4)
- クロスサイトリクエストフォージェリ(CVE-2021-20646, CVE-2021-20647, CVE-2021-20650、同4.3)
- OSコマンドインジェクション(CVE-2021-20648、同6.8)
- サーバ証明書の検証不備(CVE-2021-20649、同4.8)
- UPnP経由でのOSコマンドインジェクション(CVE-2014-8361、同8.8)
- ディレクトリトラバーサル(CVE-2021-20651、同4.3)
上記の脆弱性を悪用することで、当該製品が影響を受ける可能性のある具体的な内容としては、「管理パスワードの変更」、「任意のスクリプトの実行」、「任意のOSコマンドの実行」、「ファイルの新規作成および上書き」などが挙げられる。
ロジテック製品で報告された脆弱性は下記のとおり。
- 過度な認証試行の不適切な制限(CVE-2021-20635、同4.3)
- クロスサイトリクエストフォージェリ(CVE-2021-20636, CVE-2021-20641、同4.3)
- 例外的な状況に対する不適切なチェックまたは処理(CVE-2021-20637, CVE-2021-20642、同4.3)
- OSコマンドインジェクション(CVE-2021-20638、同6.8)
- OSコマンドインジェクション(CVE-2021-20639、同6.8)
- バッファオーバーフロー(CVE-2021-20640、同6.8)
上記により影響を受ける可能性のある内容は、「PINが解読されネットワークにアクセスされる」、「機器の設定が変更される」、「DoS攻撃を受ける」、「任意のOSコマンドを実行される」など。
本件に関して、エレコムは26日付けのプレスリリースで、ロジテック製品を含む各製品での対処法を案内している。Webブラウザ経由で攻撃を受ける可能性のある脆弱性については、「設定操作時にほかのサイトにアクセスしない」、「設定操作完了時にブラウザを終了する」、「ブラウザに保存されたパスワードを削除する」などの軽減・回避策を挙げているほか、UPnPの無効化なども推奨した。エレコム製アプリについては、後継アプリ「ELECOM EXtorage Link」を使用するよう案内している。
ただし、今回脆弱性が報告された製品はすべてアップデートサービスの対象外となっており、根本的な解決が見込めないため、該当製品のユーザーは事実上の買い替えを迫られることになる。
