ARRIS製のケーブルモデムに複数の脆弱性 - 脆弱なPWを利用

ARRIS製のケーブルモデムに複数の脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。

同製品では、パスワードの生成アルゴリズムが知られており、生成するためのシードを把握している場合、遠隔から技術者権限でアクセスが可能となるほか、それとは別にシリアル番号をもとに生成されたパスワードがハードコードされて管理者権限でアクセスされるおそれがある。

また管理者画面にクロスサイトスクリプティング「CVE-2015-7290」やクロスサイトリクエストフォージェリ「CVE-2015-7291」の脆弱性が存在するという。

対応方法はわかっておらず、セキュリティ機関では、「シードを変更する」「遠隔管理機能の無効化」など回避策をアナウンスしている。

（Security NEXT - 2015/11/25 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 脆弱性2件を解消
BeyondTrustのリモート管理製品に深刻な脆弱性 - 修正版を提供
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
AI連携に用いる「GitLab AI Gateway」に脆弱性 - 早急に更新を
ウェブメール「Roundcube」にセキュリティ更新 - 脆弱性2件に対処
クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性
Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開