製品の使用停止呼びかけ、バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月6日、バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題について「Japan Vulnerability Notes（JVN）」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2021.5.11 Tue 8:05

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月6日、バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題について「Japan Vulnerability Notes（JVN）」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。

BHR-4RV ファームウェア Ver.2.55 およびそれ以前
FS-G54 ファームウェア Ver.2.04 およびそれ以前
WBR2-B11 ファームウェア Ver.2.32 およびそれ以前
WBR2-G54 ファームウェア Ver.2.32 およびそれ以前
WBR2-G54-KD ファームウェア Ver.2.32 およびそれ以前
WBR-B11 ファームウェア Ver.2.23 およびそれ以前
WBR-G54 ファームウェア Ver.2.23 およびそれ以前
WBR-G54L ファームウェア Ver.2.20 およびそれ以前
WHR2-A54G54 ファームウェア Ver.2.25 およびそれ以前
WHR2-G54 ファームウェア Ver.2.23 およびそれ以前
WHR2-G54V ファームウェア Ver.2.55 およびそれ以前
WHR3-AG54 ファームウェア Ver.2.23 およびそれ以前
WHR-G54 ファームウェア Ver.2.16 およびそれ以前
WHR-G54-NF ファームウェア Ver.2.10 およびそれ以前
WLA2-G54 ファームウェア Ver.2.24 およびそれ以前
WLA2-G54C ファームウェア Ver.2.24 およびそれ以前
WLA-B11 ファームウェア Ver.2.20 およびそれ以前
WLA-G54 ファームウェア Ver.2.20 およびそれ以前
WLA-G54C ファームウェア Ver.2.20 およびそれ以前
WLAH-A54G54 ファームウェア Ver.2.54 およびそれ以前
WLAH-AM54G54 ファームウェア Ver.2.54 およびそれ以前
WLAH-G54 ファームウェア Ver.2.54 およびそれ以前
WLI2-TX1-AG54 ファームウェア Ver.2.53 およびそれ以前
WLI2-TX1-AMG54 ファームウェア Ver.2.53 およびそれ以前
WLI2-TX1-G54 ファームウェア Ver.2.20 およびそれ以前
WLI3-TX1-AMG54 ファームウェア Ver.2.53 およびそれ以前
WLI3-TX1-G54 ファームウェア Ver.2.53 およびそれ以前
WLI-T1-B11 ファームウェア Ver.2.20 およびそれ以前
WLI-TX1-G54 ファームウェア Ver.2.20 およびそれ以前
WVR-G54-NF ファームウェア Ver.2.02 およびそれ以前
WZR-G108 ファームウェア Ver.2.41 およびそれ以前
WZR-G54 ファームウェア Ver.2.41 およびそれ以前
WZR-HP-G54 ファームウェア Ver.2.41 およびそれ以前
WZR-RS-G54 ファームウェア Ver.2.55 およびそれ以前
WZR-RS-G54HP ファームウェア Ver.2.55 およびそれ以前

JVNによると、株式会社バッファローが提供する複数のネットワーク機器には、ドキュメント化されていないデバッグ機能を有効化される問題が存在し、隣接するネットワーク上の第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害（DoS）攻撃等が行われる可能性がある。

開発者によると、当該製品のサポートは終了しており、修正アップデートは提供されないため、製品の使用を停止し代替製品へ移行することを推奨している。