独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月14日、エレコム製およびロジテック製ルータにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏、佐藤勝彦(goroh_kun)氏、足立勇弥氏、神野亮氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2023-43752
WRC-X3000GS2-W v1.05およびそれ以前
WRC-X3000GS2-B v1.05およびそれ以前
WRC-X3000GS2A-B v1.05およびそれ以前
・CVE-2023-43757
WRC-2533GHBK2-T すべてのバージョン
WRC-2533GHBK-I すべてのバージョン
WRC-1750GHBK2-I すべてのバージョン
WRC-1750GHBK-E すべてのバージョン
WRC-1750GHBK すべてのバージョン
WRC-1167GHBK2 すべてのバージョン
WRC-1167GHBK すべてのバージョン
WRC-F1167ACF すべてのバージョン
WRC-733GHBK すべてのバージョン
WRC-733GHBK-I すべてのバージョン
WRC-733GHBK-C すべてのバージョン
WRC-300GHBK2-I すべてのバージョン
WRC-300GHBK すべてのバージョン
WRC-733FEBK すべてのバージョン
WRC-300FEBK すべてのバージョン
WRC-F300NF すべてのバージョン
WRH-300WH-H すべてのバージョン
WRH-300BK すべてのバージョン
WRH-300WH すべてのバージョン
WRH-300RD すべてのバージョン
WRH-300SV すべてのバージョン
WRH-300BK-S すべてのバージョン
WRH-300WH-S すべてのバージョン
WRH-300BK2-S すべてのバージョン
WRH-300WH2-S すべてのバージョン
WRH-H300BK すべてのバージョン
WRH-H300WH すべてのバージョン
WRH-150BK すべてのバージョン
WRH-150WH すべてのバージョン
LAN-W300N/RS すべてのバージョン
LAN-W301NR すべてのバージョン
LAN-W300N/P すべてのバージョン
LAN-WH300N/DGP すべてのバージョン
LAN-WH300NDGPE すべてのバージョン
エレコム株式会社およびロジテック株式会社が提供するルータには、下記の影響を受ける可能性がある複数の複数の脆弱性が存在する。
・OSコマンドインジェクション(CVE-2023-43752)
→当該製品にログイン後のユーザにより細工されたリクエストを送信され、任意のOSコマンドを実行される
・不十分な暗号強度(CVE-2023-43757)
→当該製品にアクセス可能な第三者によって無線通信の暗号鍵の値を推測され、通信内容を傍受される
JVNでは、対策方法として下記を推奨している。また、影響を受けるシステムの中には、すでにサポートが終了している製品が含まれており、当該製品の使用を停止して後継製品への乗り換えを検討するよう呼びかけている。
・CVE-2023-43752
→開発者が提供する情報をもとにファームウェアを最新版へアップデート
・CVE-2023-43757
→Wi-Fi(無線LAN)の初期暗号化鍵を、初期値ではなく堅牢なものに変更し利用する
