複数の「ひかり電話ルータ」および「ひかり電話対応機器」に重大な脆弱性（JVN）

IPAおよびJPCERT/CCは、NTT東日本およびNTT西日本が提供する「ひかり電話ルータ」および「ひかり電話対応機器」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2016.6.28 Tue 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月27日、東日本電信電話株式会社（NTT東日本）および西日本電信電話株式会社（NTT西日本）が提供する「ひかり電話ルータ」および「ひかり電話対応機器」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは7.1。

NTT東日本が提供するひかり電話ルータ「PR-400MI」「RV-440MI」「RT-400MI」（ファームウェア Ver. 07.00.1006 およびそれ以前）、およびNTT西日本が提供するひかり電話対応機器「PR-400MI」「RV-440MI」「RT-400MI」（ファームウェア Ver. 07.00.1005 およびそれ以前）には、クロスサイトリクエストフォージェリ（CVE-2016-1228）の脆弱性、OSコマンドインジェクション（CVE-2016-1227）の脆弱性が存在する。

これらの脆弱性が悪用されると、当該製品にログインした状態のユーザが細工されたページにアクセスした場合に、意図しない操作をされたり、当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意のOSコマンドを実行される可能性がある。JVNでは、開発者が提供する情報を元にファームウェアをアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》