JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性」において、東日本電信電話(NTT東日本)が提供する複数の「ホームゲートウェイ」および「ひかり電話ルータ」に脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、WAN側IPv6アドレスを特定した攻撃者によって設定画面にアクセスされる可能性がある。
-
JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- ひかり電話ルータ (RT-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
- ひかり電話ルータ (PR-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
- ひかり電話ルータ (RV-440MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
- ホームゲートウェイ/ひかり電話ルータ (PR-500MI,RS-500MI,RT-500MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
- ホームゲートウェイ/ひかり電話ルータ (RX-600MI,PR-600MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-47044 - アクセス制限不備の脆弱性
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- ひかり電話ルータ RT-400MI Ver.09.00.0015およびこれ以前のバージョン
- ひかり電話ルータ PR-400MI Ver.09.00.0015およびこれ以前のバージョン
- ひかり電話ルータ RV-440MI Ver.09.00.0015およびこれ以前のバージョン
- ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0004およびこれ以前のバージョン
- ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0008およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- ひかり電話ルータ RT-400MI Ver.09.00.0017
- ひかり電話ルータ PR-400MI Ver.09.00.0017
- ひかり電話ルータ RV-440MI Ver.09.00.0017
- ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0007
- ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0012
上記の製品は西日本電信電話(NTT西日本)からも提供されているが、NTT西日本ユーザーは脆弱性の影響を受けない。JPCERT/CCは当該製品を利用しているNTT東日本ユーザーに対し、NTT東日本が提供する情報を確認してアップデートを適用するように推奨している。
セキュリティ対策の肝はマネジメント – リスクマネジメントの専門家が教える4つのポイント
