独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月26日、富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズにおける認証回避の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの佐藤勝彦(goroh_kun)氏が報告を行っている。影響を受けるシステムは以下の通り。
・Si-Rシリーズ
Si-R 30Bすべてのバージョン
Si-R 130Bすべてのバージョン
Si-R 90brinすべてのバージョン
・Si-R V35系シリーズ
Si-R570Bすべてのバージョン
Si-R370Bすべてのバージョン
Si-R220Dすべてのバージョン
・Si-RG V2系シリーズ
Si-R G100 V02.54およびそれ以前のバージョン
Si-R G200 V02.54およびそれ以前のバージョン
・Si-RG V4系シリーズ
Si-R G100B V04.12およびそれ以前のバージョン
Si-R G110B V04.12およびそれ以前のバージョン
Si-R G200B V04.12およびそれ以前のバージョン
・Si-RG V20系シリーズ
Si-R G210 V20.52およびそれ以前のバージョン
Si-R G211 V20.52およびそれ以前のバージョン
Si-R G120 V20.52およびそれ以前のバージョン
Si-R G121 V20.52およびそれ以前のバージョン
・SR-Mシリーズ
SR-M 50AP1すべてのバージョン
富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-MシリーズのWeb管理インタフェースには認証回避の脆弱性が存在し、当該製品へアクセス可能な第三者によって、当該製品の設定情報を取得されたり、設定の変更やリセット等の操作が行われる可能性がある。
JVNでは、開発者が提供する情報をもとにファームウェアを最新版にアップデートするよう呼びかけている。Si-RG V2系シリーズ、Si-RG V4系シリーズ、Si-RG V20系シリーズのアップデートは、2023年8⽉以降、順次リリース予定。
アップデートが提供されない製品については、下記の回避策を適用することで、本脆弱性の影響を軽減することが可能。
当該製品の設定変更により、HTTP/HTTPS機能を無効にする
当該製品のWeb管理インタフェースを使用しない
