センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性 | ScanNetSecurity
2025.10.04(土)

センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月16日、センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月16日、センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの佐藤勝彦(goroh_kun)氏が報告を行っている。影響を受けるシステムは以下の通り。

FutureNet NXR-1300シリーズ ファームウェア Version 7.4.9 およびそれ以前
FutureNet NXR-650 ファームウェア Version 21.16.1 およびそれ以前
FutureNet NXR-610Xシリーズ ファームウェア Version 21.14.11 およびそれ以前
FutureNet NXR-530 ファームウェア Version 21.11.13 およびそれ以前
FutureNet NXR-350/C ファームウェア Version 5.30.9 およびそれ以前
FutureNet NXR-230/C ファームウェア Version 5.30.12 およびそれ以前
FutureNet NXR-160/LW ファームウェア Version 21.8.3 およびそれ以前
FutureNet NXR-G200シリーズ ファームウェア Version 9.12.15 およびそれ以前
FutureNet NXR-G180/L-CA ファームウェア Version 21.7.28B およびそれ以前
FutureNet NXR-G120シリーズ ファームウェア Version 21.15.2 およびそれ以前
FutureNet NXR-G110シリーズ ファームウェア Version 21.7.30C およびそれ以前
FutureNet NXR-G100シリーズ ファームウェア Version 6.23.10 およびそれ以前
FutureNet NXR-G060シリーズ ファームウェア Version 21.15.5 およびそれ以前
FutureNet NXR-G050シリーズ ファームウェア Version 21.12.9 およびそれ以前
FutureNet VXR/x64 ファームウェア Version 21.7.31 およびそれ以前
FutureNet VXR/x86 ファームウェア Version 10.1.4 およびそれ以前
FutureNet NXR-1200 ファームウェア Version 5.25.21 およびそれ以前
FutureNet NXR-130/C ファームウェア Version 5.13.21 およびそれ以前
FutureNet NXR-155/Cシリーズ ファームウェア Version 5.22.5M およびそれ以前
FutureNet NXR-125/CX ファームウェア Version 5.25.7H およびそれ以前
FutureNet NXR-120/C ファームウェア Version 5.25.7H およびそれ以前
FutureNet WXR-250 ファームウェア Version 1.4.7 およびそれ以前

 センチュリー・システムズ株式会社が提供するルータ FutureNet NXRシリーズ、VXRシリーズ、WXRシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・安全でない初期設定(CVE-2024-31070)
→ Telnetに無制限でアクセスされる

・利用可能なデバッグ機能(CVE-2024-36475)
→デバッグ機能の使用方法を知っているユーザがログインした場合、デバッグ機能を使用され、任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2024-36491)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける

・バッファオーバーフロー(CVE-2020-10188)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける

 JVNでは、それぞれ下記の対策を推奨している。

・CVE-2024-31070
→当該製品を初期設定のまま使用している場合、CLIコマンドを利用してTelnetを無効化し、SSHの利用を推奨

・CVE-2024-36475、CVE-2024-36491、CVE-2020-10188
→アップデートする

 また開発者によると、本件の影響を受ける製品群の一部はすでにサポートが終了しているため、現行製品の利用を停止し、後続製品に移行することを推奨している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop