独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2022-39044
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前
・CVE-2022-34840
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
・CVE-2022-40966
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WRM-D2133HP ファームウェア Ver. 2.85 およびそれ以前
WRM-D2133HS ファームウェア Ver. 2.96 およびそれ以前
WTR-M2133HP ファームウェア Ver. 2.85 およびそれ以前
WTR-M2133HS ファームウェア Ver. 2.96 およびそれ以前
WXR-1900DHP ファームウェア Ver. 2.50 およびそれ以前
WXR-1900DHP2 ファームウェア Ver. 2.59 およびそれ以前
WXR-1900DHP3 ファームウェア Ver. 2.63 およびそれ以前
WXR-5950AX12 ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12B ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12S ファームウェア Ver. 3.40 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-1750DHP2 ファームウェア Ver. 2.31 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WEM-1266 ファームウェア Ver. 2.85 およびそれ以前
WEM-1266WP ファームウェア Ver. 2.85 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前
株式会社バッファローが提供する複数のネットワーク機器には、それぞれ下記の影響を受ける可能性がある複数の脆弱性が存在する。
・ドキュメント化されていないデバッグ機能を有効化される問題(CVE-2022-39044)
→当該製品にログインしたユーザにデバッグ機能にアクセスされ、当該製品上で任意の OS コマンドが実行される
・ハードコードされた認証情報の使用(CVE-2022-34840)
→隣接するネットワーク上の第三者に当該製品の設定を変更される
・認証回避(CVE-2022-40966)
→隣接するネットワーク上の第三者に認証を回避され、当該製品に不正にアクセスされる
JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。
