複数メーカーのルータにクリックジャッキングの脆弱性
複数メーカーが販売するルータに、クリックジャッキングの脆弱性が含まれていることがわかった。ルータ上でユーザーの意図しない操作が実行されるおそれがあり、メーカーやセキュリティ機関では注意を呼びかけている。
脆弱性情報のポータルサイトであるJVNによれば、複数のメーカーが提供するルータの管理画面に脆弱性が存在。
ログインしたユーザーが悪意あるページに誘導され、ページ上で管理画面のボタンに重なるように作成されたコンテンツをクリックすると、ルータの設定内容が変更されたり、初期化、再起動、シャットダウンなどの操作を実行されるおそれがある。
30日の時点で、NEC、アイ・オー・データ機器、バッファロー、ヤマハ、コレガ、アライドテレシスなどの一部製品が影響を受けることが判明している。
一部メーカーでは、脆弱性に関する告知を開始、回避策などの情報を提供している。ファームウェアの更新や、管理画面にログインした状態でほかのウェブページに遷移せず、必ずログアウトしてから操作するよう求めている。
今回の脆弱性は、サイバーディフェンス研究所の岩崎徳明氏が情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。
(Security NEXT - 2015/10/30 )
ツイート
PR
関連記事
ASUS製ルータに認証回避の脆弱性 - アップデートの実施を
ASUS製ルータの脆弱性、ベンダー発表以上に高リスク - 国内外で被害拡大
「Junos OS」攻撃で複数マルウェア - マルウェア除去の実施を
「WhatsUp Gold」など悪用される脆弱性5件を注意喚起 - 米当局
NEC製「Atermシリーズ」に複数の脆弱性 - アップデートを
「Juniper Session Smart Router」に深刻な脆弱性 - アップデートを
I-O DATA製ハイブリッドM2Mルータ「UD-LT2」に複数脆弱性
Zyxel製ルータやアクセスポイントに脆弱性 - アップデートを
プラネックス製ルータ「MZK-DP300N」にXSS脆弱性
D-Link製の一部ルータ製品に脆弱性 - WAN側にも存在
