セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure|Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE(Customer Premises Equipment:カスタマ構内設備)で広く利用されており、Arris製の複数のルータモデルに使われるファームウェアに含まれているという。
muhttpd(mu HTTP deamon)は、ANSI Cで開発されたシンプルなWebサーバ。このWebサーバに複数の脆弱性があることが明らかとなった。発見された脆弱性は次のとおり。
- パストラサーバル攻撃(CVE-2022-31793)
- NULLポインタ参照
- URLのデファング時のバッファオーバーリード
これらの脆弱性を含んだファームウェアが、「NVG443」「NVG599」「NVG589」「NVG510」およびISPによってカスタマイズされた「BGW210」や「BGW320」などのArris製ルータで使われていることが確認されている。当初、対象の脆弱性を含むルータが少なくとも1万9000台、インターネットに直接接続されているとされていたが、情報の公開によって多くのルータに対し、ISPからパッチが適用されたとのことだ。
ただし、Abdine氏によると、脆弱性を含むルータは、インターネットに接続されていない、またはインターネットから簡単に識別できないものがさらに何百万もあるとのことだ (ISP 展開のフットプリントの合計によって異なる)。
Abdine氏は、ネットワークに接続されていない脆弱性が残ったままのルータがまだ数多く存在することやISPがファームウェアを独自に管理していることから、この問題は何年も続く危険性があると警告している。もし、報告されている脆弱性に該当するルータを利用している場合は、できるだけ早くパッチを適用したバージョンを入手するか、デバイスを交換することが推奨される。