独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月16日、Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題について「Japan Vulnerability Notes(JVN)」で発表した。横浜国立大学の九鬼琉氏と宮本岩麒氏と佐々木貴之氏と吉岡克成氏が報告を行っている。影響を受けるシステムは以下の通り。
・RG-EST300
AP_3.0(1)B2P18_EST300_06210514
AP_3.0(1)B2P10_EST300_06151523
AP_3.0(1)B2P10_EST300_05232216
AP_3.0(1)B2P10_EST300_05220814
※本製品は既にサポートを終了している
Ruijie Networksが提供するRG-EST300には、SSHサーバ機能が実装されているがマニュアルには記載されておらず、さらに初期設定で有効になっており非公開機能を悪用される問題(CVE-2025-58778)が存在する。
想定される影響としては、認証情報を知っていれば当該機器にログイン可能で、その結果、システム内の情報漏えい、システムの改ざん、サービス運用妨害(DoS)攻撃等が行われる可能性がある。
開発者はすでに当該製品のサポートを終了しており、JVNでは後継製品への乗り換え等を検討するよう呼びかけている。
