Published: 2024-04-09 08:00
NEC Aterm シリーズに複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月5日、NEC Atermシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。嘉代稜氏、佐藤勝彦氏、横浜国立大学の佐々木貴之氏と吉岡克成氏と森井裕大氏と乃万誉也氏が報告を行っている。影響を受けるシステムは以下のAtermシリーズ製品のすべてのバージョン。
CR2500P
MR01LN
MR02LN
W300P
W1200EX(-MS)
WF300HP
WF300HP2
WF800HP
WF1200HP
WF1200HP2
WG300HP
WG600HP
WG1200HP
WG1200HP2
WG1200HP3
WG1200HS
WG1200HS2
WG1200HS3
WG1400HP
WG1800HP
WG1800HP2
WG1800HP3
WG1800HP4
WG1810HP(JE)
WG1810HP(MF)
WG1900HP
WG1900HP2
WG2200HP
WM3400RN
WM3450RN
WM3500R
WM3600R
WM3800R
WR1200H
WR4100N
WR4500N
WR6600H
WR6650S
WR6670S
WR7800H
WR7850S
WR7870S
WR8100N
WR8150N
WR8160N
WR8165N
WR8166N
WR8170N
WR8175N
WR8200N
WR8300N
WR8370N
WR8400N
WR8500N
WR8600N
WR8700N
WR8750N
WR9300N
WR9500N
日本電気株式会社が提供するAtermシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
不適切なアクセス権限付加(CVE-2024-28005)
→当該機器にTelnetでログインされた場合、機器の設定を変更され、root権限でシェルを実行される
認証情報の情報漏えい(CVE-2024-28006)
→機微な情報を窃取される
不適切なアクセス権限付加(CVE-2024-28007)
→当該機器のTelnetを有効化されログインされた場合、root権限でシェルを実行される
利用可能なデバッグ機能(CVE-2024-28008)
→当該機器にTelnetでログインされた場合、デバッグ機能を使用される
脆弱なパスワードの使用(CVE-2024-28009、CVE-2024-28012)
→ID、パスワードを推測され、Telnetにログインされる
ハードコードされた認証情報の使用(CVE-2024-28010)
→ID、パスワードを推測され、Telnetにログインされる
ドキュメント化されていない機能(CVE-2024-28011)
→ Telnetに無制限でアクセスされる
セッション管理不備(CVE-2024-28013)
→当該機器にログインせずに、機器の設定を変更される
バッファオーバーフロー(CVE-2024-28014)
→任意のコードを実行される
Web管理画面におけるOSコマンドインジェクション(CVE-2024-28015)
→当該機器のWeb管理画面にログイン後、任意のコマンドを実行される
機器情報の情報漏えい(CVE-2024-28016)
→機器の型番等の情報を窃取される
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするか、ワークアラウンドを実施する
よう呼びかけている。また、一部製品はすでにサポートが終了しているため、後続製品への乗り換え等を検討するよう呼びかけている。
| # | 言葉 | 意味 |
|---|---|---|
| 9 | 機器 | きき (機器) : device; equipment; machinery; apparatus |
| 6 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 6 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 5 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 4 | 権限 | けんげん (権限) : power; authority; jurisdiction |
| 4 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 3 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 3 | 機能 | きのう (機能) : function; facility; faculty; feature |
| 3 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 3 | 管理 | かんり (管理) : control; management (e.g. of a business) |
| 2 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 不適切 | ふてきせつ (不適切) : unsuitable; inappropriate; improper |
| 2 | 付加 | ふか (付加) : addition; annexation; appendage |
| 2 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 2 | 変更 | へんこう (変更) : change; modification; alteration; revision; amendment |
| 2 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 2 | 情報漏えい | じょうほうろうえい (情報漏洩) : information leak; data breach |
| 2 | 窃取 | せっしゅ (窃取) : theft; stealing; larceny |
| 2 | 化 | か (化) : action of making something; -ification |
| 2 | 推測 | すいそく (推測) : guess; conjecture |
| 2 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 2 | 画面 | がめん (画面) : 1. screen (of a TV, computer, etc.) 2. image (on a screen); picture; scene |
| 2 | 等 | など (等) : 1. et cetera; etc.; and the like; and so forth 2. or something |
| 2 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 嘉代 | かしろ (嘉代) : Kashiro (surname) |
| 1 | 佐藤勝彦 | さとうかつひこ (佐藤勝彦) : Satou Katsuhiko (1945.8-) (person) |
| 1 | 横浜国立大学 | よこはまこくりつだいがく (横浜国立大学) : Yokohama National University (organization) |
| 1 | 佐々木 | いしだ (佐々木) : Ishida (surname) |
| 1 | 貴之 | たかし (貴之) : Takashi (masc) |
| 1 | 吉岡 | きちおか (吉岡) : Kichioka (place) |
| 1 | 克成 | かつしげ (克成) : Katsushige (surname; given) |
| 1 | 森井 | もり (森井) : Mori (surname) |
| 1 | 裕大 | ひろお (裕大) : Hiroo (unclass) |
| 1 | 乃万 | のま (乃万) : Noma (surname) |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | すべて | すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all |
| 1 | 日本電気 | にっぽんでんき (日本電気) : NEC (Nippon Electric Company) (company) |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 下記 | かき (下記) : the following |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 機微 | きび (機微) : 1. subtleties; niceties; fine points; inner workings; secrets 2. subtle; sensitive |
| 1 | 有効 | ゆうこう (有効) : 1. valid; effective 2. yuko (judo) |
| 1 | 利用可能 | りようかのう (利用可能) : available; usable (e.g. bandwidth) |
| 1 | 脆弱 | ぜいじゃく (脆弱) : weak; frail; fragile |
| 1 | 無制限 | むせいげん (無制限) : unlimited; unrestricted; limitless |
| 1 | 不備 | ふび (不備) : 1. defect; deficiency; imperfection; inadequacy; lack 2. Yours in haste |
| 1 | 型番 | かたばん (型番) : model number |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 1 | 一部 | いちぶ (一部) : 1. one part; one portion; one section; some 2. one copy (e.g. of a document) |
| 1 | すでに | すでに (既に) : already; too late |
| 1 | 終了 | しゅうりょう (終了) : end; close; termination |
| 1 | 後続 | こうぞく (後続) : succeeding; following; trailing; next |
| 1 | 乗り換え | のりかえ (乗り換え) : 1. transfer (trains, buses, etc.); change; connection 2. switch (to another ideology, party, system, method, etc.); change; conversion |
| 1 | 検討 | けんとう (検討) : consideration; examination; investigation; study; scrutiny; discussion; analysis; review |