ARRIS製のケーブルモデムに複数の脆弱性 - 脆弱なPWを利用

ARRIS製のケーブルモデムに複数の脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。

同製品では、パスワードの生成アルゴリズムが知られており、生成するためのシードを把握している場合、遠隔から技術者権限でアクセスが可能となるほか、それとは別にシリアル番号をもとに生成されたパスワードがハードコードされて管理者権限でアクセスされるおそれがある。

また管理者画面にクロスサイトスクリプティング「CVE-2015-7290」やクロスサイトリクエストフォージェリ「CVE-2015-7291」の脆弱性が存在するという。

対応方法はわかっておらず、セキュリティ機関では、「シードを変更する」「遠隔管理機能の無効化」など回避策をアナウンスしている。

（Security NEXT - 2015/11/25 ） ツイート

PR

関連記事

ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
「Firefox 88」が登場、13件の脆弱性を修正
トレンド製パスワード管理製品に脆弱性 - アップデートが公開
「WordPress」に2件の脆弱性 - 「同4.7」以降にアップデートを提供
「Chrome 90」が公開、37件のセキュリティ修正 - 前回更新からわずか1日で
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
SAP、4月の月例アップデートを公開 - CVSS基本値「9.9」のRCE脆弱性も
スマホアプリ「ぐるなび」に脆弱性 - 任意サイトへの誘導に悪用されるおそれ
「Chrome 89.0.4389.128」で脆弱性2件を修正 - いずれもエクスプロイトの報告あり
「Adobe Bridge」や「Photoshop」など複数Adobe製品に深刻な脆弱性