JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月30日、「JVN#88993473: 複数のエレコム製 LAN ルーターにおける複数の脆弱性」および「JVNVU#94527926: エレコム製ルータにおける複数の脆弱性」において、エレコムが提供している複数のルータ製品に報告された脆弱性に対する警告を行った。
これらの脆弱性を悪用されると、攻撃者によって対象のシステム上で任意のOSコマンドやスクリプトを実行、ログイン認証の回避、不正な設定の変更などを行われる可能性がある。開発元のエレコムからは次のセキュリティ情報が提供されている。
今回報告されている脆弱性では、次のようなの影響を受ける可能性があるされている。
- 対象の製品の管理画面にログインできる隣接するネットワーク上の第三者によって、任意のOSコマンドが実行される(CVE-2021-20852、CVE-2021-20853、CVE-2021-20854)
- 対象の製品にログインしているユーザのWebブラウザ上で任意のスクリプトが実行される(CVE-2021-20855、CVE-2021-20856、CVE-2021-20857、CVE-2021-20858)
- 対象の製品にログインできる隣接するネットワーク上の第三者によって、任意のOSコマンドが実行される(CVE-2021-20859)
- 対象の製品にログインした状態のユーザが細工されたページにアクセスした場合に、意図しない操作をさせられる(CVE-2021-20860)
- 隣接するネットワーク上の第三者によって認証なしで管理画面にアクセスされる(CVE-2021-20861)
- 隣接するネットワーク上の第三者によって対象の製品で用いられているCSRFトークンを不正に取得され、設定を変更させられる(CVE-2021-20862)
- 対象の製品の管理画面にアクセス可能な第三者によって、root権限で任意のOSコマンドを実行される(CVE-2021-20863)
- 隣接するネットワーク上の第三者によって、対象の製品のtelnetサービスを有効化され、root権限で任意のOSコマンドを実行される(CVE-2021-20864)
影響を受ける製品名やバージョンについては、エレコムのセキュリティ情報を参照いただきたい。いずれの脆弱性もファームウェアを最新版にアップデートすることで影響を回避できるという。脆弱性の一部は深刻度が「重要(Important)」に分類されており、できるだけ早急に対処することが推奨される。