JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は1月26日(日本時間)、「JVN#47580234: 複数のエレコム製品における複数の脆弱性」において、エレコムが提供する複数の製品に脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって対象の製品で任意のコマンドやスクリプトが実行されたり、管理パスワードが変更されたりといった被害を受けるおそれがある。今回報告された脆弱性に関する情報は次のページにまとまっている。
想定される影響は脆弱性によって異なり、それぞれ次のような被害を受ける可能性があるという。
- CVE-2021-20643: リモートから細工されたリクエストを処理することで、対象製品の管理パスワードが変更される
- CVE-2021-20644: 管理画面上に細⼯されたSSIDを表⽰することで、ユーザーのWebブラウザ上で任意のスクリプトが実⾏される
- CVE-2021-20645: 対象製品にログインしているユーザーのWebブラウザ上で任意のスクリプトが実⾏される
- CVE-2021-20646, CVE-2021-20647, CVE-2021-20650: 対象製品の管理画⾯にログインした状態のユーザーが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、対象製品の設定が意図せず変更されたり、telnet デーモンが起動されたりする
- CVE-2021-20648: 対象製品にアクセス可能な第三者によって任意のOSコマンドが実⾏される
- CVE-2021-20649: 中間者攻撃 (man-in-the-middle attack) によって通信のレスポンスを改ざんされ、結果として対象製品で任意のOSコマンドが実⾏される
- CVE-2014-8361: 対象製品でUPnPが有効な場合に、対象製品にアクセス可能な第三者により任意のOSコマンドが実⾏される
これらの脆弱性の影響を受けるとされる製品は次の通り。
- LD-PS/U1(CVE-2021-20643)
- WRC-1467GHBK-A(CVE-2021-20644)
- WRC-300FEBK-A(CVE-2021-20645, CVE-2021-20646)
- WRC-300FEBK-S(CVE-2021-20647, CVE-2021-20648, CVE-2021-20649)
- NCC-EWF100RMWH2(CVE-2021-20650)
- WRC-300FEBK(CVE-2014-8361)
- WRC-F300NF(CVE-2014-8361)
- WRC-300FEBK-S(CVE-2014-8361)
最も深刻度が高い脆弱性はCVE-2014-8361で、CVSSv3のスコアでは5段階中の2番目に当たる「重要」に分類されている。その他の脆弱性の深刻度は、いずれも5段階中3番目の「警告」となっている。
エレコムによると、該当する製品のサポートは既に終了しているため、恒久的な対策としては製品の使用を中止することが推奨されるという。一部の脆弱性については影響を軽減する対処法が提示されている。詳細は前述のエレコムによるセキュリティ情報を参照のこと。