独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月6日、FXC株式会社が提供する無線LANルータにOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
情報コンセント対応型無線LANルータである「AE1021PE」および「AE1021」には、OSコマンドインジェクション(CVE-2023-49897)の脆弱性が存在する。CVSS v3による基本値は8.0。影響を受けるシステム(ファームウェアバージョン)は次の通り。
・AE1021PE ファームウェアバージョン 2.0.9 およびそれ以前
・AE1021 ファームウェアバージョン 2.0.9 およびそれ以前
この脆弱性が悪用されると、当該製品にログイン可能な攻撃者によって、任意のOSコマンドを実行される可能性がある。なお、JPCERT/CCでは本脆弱性を悪用した通信を確認している。
開発者から本脆弱性の対策を行ったファームウェア2.0.10がリリースされている。このアップデートを実施した上で、「工場出荷時設定」をリセットし、管理画面ログイン用のパスワードを初期設定から変更するよう呼びかけている。
この脆弱性情報は、横浜国立大学の九鬼琉氏、佐々木貴之氏、吉岡克成氏がJPCERT/CCに報告した。また、ほぼ同時期にThe Akamai SIRTがCISAに報告している。
