「auひかり」向けのブロードバンドルータに複数の脆弱性
KDDIが、ブロードバンド接続サービス「auひかり」の利用者に対して提供している家庭向けWi-Fi対応ブロードバンドルータ「HGW BL1500HM」に複数の脆弱性が明らかとなった。
脆弱性情報のポータルサイトであるJVNによれば、同製品の「ファームウェア002.001.013」および以前のバージョンに隣接ネットワークより悪用が可能となる脆弱性3件が明らかとなったもの。
任意のコマンドを実行されるおそれがある「CVE-2024-28041」をはじめ、SSH接続においてパスワードの強度が不十分である「CVE-2024-21865」、パスワードの強度が不十分なためにシステムの設定を変更されるおそれがある「CVE-2024-2907」が判明した。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-28041」が「8.8」、のこる2件は「6.5」と評価されている。
ゼロゼロワンの早川宙也氏がJPCERTコーディネーションセンターへ報告したもので、同センターが調整を行った。脆弱性を修正したファームウェア「同002.001.019」が提供されている。
同製品はインターネット回線に接続されている場合、自動的にファームウェアを取得し、アップデートする機能を搭載しているため、利用者による操作は不要。アップデート時に再起動するため、機器を通じて提供されているネットや電話、テレビのサービスなどが約8分間にわたり使用できなくなるという。
(Security NEXT - 2024/03/25 )
ツイート
PR
関連記事
ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
外部からの攻撃を検知、会員情報流出の可能性 - CNプレイガイド
個人情報約60万件が詐欺グループに - 個情委が名簿事業者に行政指導
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
顧客情報含むハンディ端末が所在不明に - ミツウロコヴェッセル
サイトが改ざん被害、外部へ誘導される状態に - 京都府社会福祉協議会
増加傾向から一転、被害額が4割弱減 - クレカ不正利用
