ひかり電話ルータに複数の脆弱性

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は6月27日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVN#77403442: 複数のひかり電話ルータおよびひかり電話対応機器における OS コマンドインジェクションの脆弱性」および「JVN#45034304: 複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性」において、NTT東日本・西日本が提供するひかり電話ルータの脆弱性について伝えた。

OS コマンドインジェクションの脆弱性による影響としては、対象製品の管理画面にログイン可能なユーザーによって、製品上で任意のOSコマンドを実行される可能性がある。また、クロスサイトリクエストフォージェリの脆弱性においては、対象製品にログインした状態のユーザーが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

東日本電信電話

• ひかり電話ルータ PR-400MI ファームウェア Ver. 07.00.1006 およびそれそれより前のバージョン
• ひかり電話ルータ RV-440MI ファームウェア Ver. 07.00.1006 およびそれそれより前のバージョン
• ひかり電話ルータ RT-400MI ファームウェア Ver. 07.00.1006 およびそれそれより前のバージョン

西日本電信電話

• ひかり電話対応機器 PR-400MI ファームウェア Ver. 07.00.1005 およびそれそれより前のバージョン
• ひかり電話対応機器 RV-440MI ファームウェア Ver. 07.00.1005 およびそれそれより前のバージョン
• ひかり電話対応機器 RT-400MI ファームウェア Ver. 07.00.1005 およびそれそれより前のバージョン

一覧に使用中のプロダクトおよびバージョンが含まれている場合は、プロジェクトのサイトで最新の情報をチェックするとともに、最新のファームウェアにアップデートすることが推奨される。