アライドテレシス製ルータに脆弱性 - 「guest」アカウントで管理者操作が可能
アライドテレシス製のルータ「CentreCOM AR260S V2」に、初期設定で用意されているユーザーレベルのアカウントで、管理者権限の操作が可能となる脆弱性「CVE-2017-2125」が含まれていることがわかった。
同製品では、初期設定としてユーザーレベルの「guest」アカウントが用意されているが、認証情報が公開されており、同アカウントで同製品へログインすることにより、管理者権限による任意の操作が可能だという。
同脆弱性は、トレンドマイクロのZiv Chang氏が情報処理推進機構(IPA)へ報告したもので。JPCERTコーディネーションセンターが調整を実施した。
同社やセキュリティ機関では、「guest」アカウントのパスワードを変更したり、ファイアウォールを用いてWAN側から意図しないアクセスが行われないように設定するなど、緩和策の実施を呼びかけている。
(Security NEXT - 2017/03/31 )
ツイート
PR
関連記事
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
「BIND 9」に複数の脆弱性、すみやかな更新を強く推奨
「Drupal」が緊急更新を予定 - 数時間で脆弱性悪用の可能性
