複数メーカーのルータにクリックジャッキングの脆弱性

複数メーカーが販売するルータに、クリックジャッキングの脆弱性が含まれていることがわかった。ルータ上でユーザーの意図しない操作が実行されるおそれがあり、メーカーやセキュリティ機関では注意を呼びかけている。

脆弱性情報のポータルサイトであるJVNによれば、複数のメーカーが提供するルータの管理画面に脆弱性が存在。

ログインしたユーザーが悪意あるページに誘導され、ページ上で管理画面のボタンに重なるように作成されたコンテンツをクリックすると、ルータの設定内容が変更されたり、初期化、再起動、シャットダウンなどの操作を実行されるおそれがある。

30日の時点で、NEC、アイ・オー・データ機器、バッファロー、ヤマハ、コレガ、アライドテレシスなどの一部製品が影響を受けることが判明している。

一部メーカーでは、脆弱性に関する告知を開始、回避策などの情報を提供している。ファームウェアの更新や、管理画面にログインした状態でほかのウェブページに遷移せず、必ずログアウトしてから操作するよう求めている。

今回の脆弱性は、サイバーディフェンス研究所の岩崎徳明氏が情報処理推進機構（IPA）へ報告。JPCERTコーディネーションセンターが調整を行った。

（Security NEXT - 2015/10/30 ） ツイート

PR

関連記事

「Atermシリーズ」59製品に複数の脆弱性 - アップデートや移行などを
プラネックス製無線LANルータ「MZK-MF300N」に脆弱性 - 使用中止を
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性
「auひかり」向けのブロードバンドルータに複数の脆弱性
KDDIの家庭向けWi-Fiルータ「HOME SPOT CUBE2」に脆弱性 - 修正予定なし
ルータ向けLinux「Zeroshell」 - 開発終了しており使用中止を
ヤマハ製無線LAN APに脆弱性 - コマンドが実行可能に
脆弱性6件に対する攻撃に注意を喚起 - 米当局
バッファロー製法人向けルータ「VR-S1000」に複数の脆弱性