バッファローの法人向けVPNルーター「VR-S1000」の脆弱性にラックが注意喚起 | ScanNetSecurity
2024.06.22(土)

バッファローの法人向けVPNルーター「VR-S1000」の脆弱性にラックが注意喚起

ラックは、バッファローが提供する法人向けVPNルーター「VR-S1000」における複数の脆弱性について注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 株式会社ラックは1月22日、株式会社バッファローが提供する法人向けVPNルーター「VR-S1000」における複数の脆弱性について注意喚起を発表した。

 「VR-S1000」における複数の脆弱性については、2023年12月25日にバッファローのサイトで公開されており、翌日にはJVN(Japan Vulnerability Notes)でも公開されている。影響を受けるシステムは次の通り。

・VR-S1000 ファームウェア Ver. 2.37 およびそれ以前

 公表された脆弱性は次の通り。

・OS コマンドインジェクション(CVE-2023-45741)
 CVSSによる基本値:6.8
・引数インジェクション(CVE-2023-46681)
 CVSSによる基本値:7.8
・ハードコードされた暗号鍵の使用(CVE-2023-46711)
 CVSSによる基本値:2.4
・情報漏えい(CVE-2023-51363)
 CVSSによる基本値:6.5

 このうち「情報漏えい(CVE-2023-51363)」の脆弱性は、ラックの飯田雅裕氏がIPAに報告している。同氏がラックで注意喚起を発表した。CVE-2023-51363の脆弱性は、当該製品のWeb管理画面に対して特定の方法でリクエストを送ることで、認証なしに当該製品内に存在する「機微な情報」を取得することが可能となるもので、重大なセキュリティインシデントにつながる可能性があるとしている。

 JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。また飯田氏は、インターネット上にWeb管理画面を公開している機器については「機微な情報」を取得された可能性があるため、ファームウェアのアップデート後、念のため「機微な情報」と想定されるものを変更することを推奨している。

 なお、CVE-2023-45741、CVE-2023-46681、CVE-2023-46711の脆弱性についてはは、NeroTeam Security LabsのThomas J. Knudsen氏、Samy Younsi氏がJPCERT/CCに報告を行っている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る