複数メーカーのルータにクリックジャッキングの脆弱性
複数メーカーが販売するルータに、クリックジャッキングの脆弱性が含まれていることがわかった。ルータ上でユーザーの意図しない操作が実行されるおそれがあり、メーカーやセキュリティ機関では注意を呼びかけている。
脆弱性情報のポータルサイトであるJVNによれば、複数のメーカーが提供するルータの管理画面に脆弱性が存在。
ログインしたユーザーが悪意あるページに誘導され、ページ上で管理画面のボタンに重なるように作成されたコンテンツをクリックすると、ルータの設定内容が変更されたり、初期化、再起動、シャットダウンなどの操作を実行されるおそれがある。
30日の時点で、NEC、アイ・オー・データ機器、バッファロー、ヤマハ、コレガ、アライドテレシスなどの一部製品が影響を受けることが判明している。
一部メーカーでは、脆弱性に関する告知を開始、回避策などの情報を提供している。ファームウェアの更新や、管理画面にログインした状態でほかのウェブページに遷移せず、必ずログアウトしてから操作するよう求めている。
今回の脆弱性は、サイバーディフェンス研究所の岩崎徳明氏が情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。
(Security NEXT - 2015/10/30 )
ツイート
PR
関連記事
米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
バッファロー製ルータ「WSR-1800AX4シリーズ」に脆弱性 - ファームウェアの更新を
プラネックス製モバイルルータ「ちびファイ4」に脆弱性
ルータOS「OpenWrt」に脆弱性 - 修正版がリリース
バッファロー製Wi-Fiルータ「WXR9300BE6Pシリーズ」に脆弱性
セイコーソリューションズ製IoT機器向けルータに深刻な脆弱性
米当局、TP-Link製ルータ2件の脆弱性悪用を確認 - 利用中止も勧告
米当局、2019年以前の既知脆弱性4件を悪用リストに追加
米CISA、「AMI MegaRAC SPx」や「FortiOS」の既知脆弱性悪用を警告
Apple製品の脆弱性に攻撃 - 2〜3月に修正済みも情報公開は6月
