Trend Microは5月20日(米国時間)、「Security Bulletin: Trend Micro Home Network Security Multiple Vulnerabilities」において、同社の提供しているセキュリティデバイス「Home Network Security」のファームウェアに複数の脆弱性が発見され、修正バージョンをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって対象の端末上で特権の昇格や任意の認証が実施されるなどの被害を受ける危険性があるという。

  • Security Bulletin: Trend Micro Home Network Security Multiple Vulnerabilities

    Security Bulletin: Trend Micro Home Network Security Multiple Vulnerabilities

今回報告されている脆弱性は次の2種類(CVE番号ベースでは3つ)。

  • CVE-2021-32457およびCVE-2021-32458: ioctlにおけるスタックベースのバッファオーバーフローによる特権昇格の脆弱性
  • CVE-2021-32459:ログ収集サーバにハードコードされたパスワードの脆弱性

CVE-2021-32457およびCVE-2021-32458は、ioctlにおけるスタックオーバーフローの脆弱性で、攻撃者が特別に細工したioctlを発行することによってデバイスの特権を昇格させる可能性があるという。脆弱性の深刻度を表すCVSS v3のスコアは7.8で、5段階中の2番目に高い「重要」に分類されている。

CVE-2021-32459は、SFTPログ収集サーバにハードコードされたパスワードが含まれていることが原因で、攻撃者は特別に細工したネットワーク要求を使用して任意の認証を行えるというもの。CVSS v3のスコアは4.7で、深刻度は5段階中の3番目にあたる「警告」に分類されている。

これらの脆弱性の影響を受けるのはバージョン6.6.604以前のファームウェアが搭載されたデバイスで、ファームウェアをバージョン6.7.609にアップデートすることで問題を回避することができる。Trand Microでは自動ファームウェアアップデートメカニズムを利用してこのアップデートをリリースしたため、デバイスがインターネットに接続されていれば、自動でアップデートを受信することができるとのことだ。