独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月10日、エレコム製およびロジテック製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2023-32626
LAN-W300N/RS すべてのバージョン
LAN-W300N/PR5 すべてのバージョン
・CVE-2023-35991
LAN-W300N/DR すべてのバージョン
LAN-WH300N/DR すべてのバージョン
LAN-W300N/P すべてのバージョン
LAN-WH450N/GP すべてのバージョン
LAN-WH300AN/DGP すべてのバージョン
LAN-WH300N/DGP すべてのバージョン
LAN-WH300ANDGPE すべてのバージョン
・CVE-2023-38132
LAN-W451NGR すべてのバージョン
CVE-2023-38576、CVE-2023-39445
LAN-WH300N/RE すべてのバージョン
・CVE-2023-39454
WRC-X1800GS-B v1.13およびそれ以前のバージョン
WRC-X1800GSA-B v1.13およびそれ以前のバージョン
WRC-X1800GSH-B v1.13およびそれ以前のバージョン
・CVE-2023-39455
WRC-600GHBK-A すべてのバージョン
WRC-1467GHBK-A すべてのバージョン
WRC-1900GHBK-A すべてのバージョン
WRC-733FEBK2-A すべてのバージョン
WRC-F1167ACF2 すべてのバージョン
WRC-1467GHBK-S すべてのバージョン
WRC-1900GHBK-S すべてのバージョン
・CVE-2023-39944
WRC-F1167ACF すべてのバージョン
WRC-1750GHBK すべてのバージョン
・CVE-2023-40069
WRC-F1167ACF すべてのバージョン
WRC-1750GHBK すべてのバージョン
WRC-1167GHBK2 すべてのバージョン
WRC-1750GHBK2-I すべてのバージョン
WRC-1750GHBK-E すべてのバージョン
・CVE-2023-40072
WAB-S600-PS すべてのバージョン
WAB-S300 すべてのバージョン
エレコム株式会社およびロジテック株式会社が提供するネットワーク機器には、下記の影響が想定される複数の脆弱性が存在する。
・非公開の機能(CVE-2023-32626、CVE-2023-35991、CVE-2023-39445)
→当該製品にアクセス可能な第三者によって特定の操作画面にログインされ、任意の OS コマンドを実行される
→当該製品にアクセス可能な第三者によって特定の操作画面に細工されたファイルを送信され、任意のコードを実行される
・Telnet サービスへのアクセス制限の不備(CVE-2023-38132)
→当該製品にアクセス可能な第三者によってtelnetサービスにログインされる
・非公開の機能(CVE-2023-38576)
→当該製品にログイン可能な第三者によって特定の操作画面から任意の OS コマンドを実行される
・バッファオーバーフロー(CVE-2023-39454)
→当該製品にアクセス可能な第三者によって任意のコードを実行される
・OS コマンドインジェクション(CVE-2023-39455、CVE-2023-40072)
→当該製品にログイン可能な第三者によって細工されたリクエストを送信され、任意の OS コマンドを実行される
・OS コマンドインジェクション(CVE-2023-39944、CVE-2023-40069)
→当該製品にアクセス可能な第三者によって細工されたリクエストを送信され、任意の OS コマンドを実行される
JVNでは、製品ごとに下記の対策を呼びかけている。
・WRC-X1800GS-B、WRC-X1800GSA-B、WRC-X1800GSH-B
→開発者が提供する情報をもとにファームウェアを最新版へアップデート
・WAB-S600-PS、WAB-S300
→下記の回避・軽減策の実施
設定画面のログインパスワードを変更する
設定画面にログインしている間、他のウェブサイトにアクセスしない
設定画面での操作終了後は、ウェブブラウザを終了する
ウェブブラウザに保存された設定画面のパスワードを削除する
また、上記以外の製品についてはすでにサポートが終了しているため、現行製品の利用を停止し、後続製品に乗り換えを推奨している。
