JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月2日、「JVN#53958863: UNIVERGE IX/IX-R/IX-Vシリーズルータにおける複数の脆弱性」において、NECの企業向けの高速アクセスルータシリーズに複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、管理画面にログインできる第三者に任意のコマンドを実行される可能性がある。

  • JVN#53958863: UNIVERGE IX/IX-R/IX-Vシリーズルータにおける複数の脆弱性

    JVN#53958863: UNIVERGE IX/IX-R/IX-Vシリーズルータにおける複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-11013 - コマンドインジェクションの脆弱性。管理画面にログインできる攻撃者は、WebGUIメッセージを改ざんすることで任意のCLIコマンドを実行できる可能性がある(CVSSスコア: 7.2)
  • CVE-2024-11014 - クロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性。管理画面にログインしているユーザーを細工したリンクにアクセスさせることで、攻撃者は認証画面を乗っ取ることができる(CVSSスコア: 4.3)

脆弱性が存在する製品

脆弱性の影響を受けるとされる製品は次のとおり(ゼロコンフィグモデルを含む)。

  • IX2025
  • IX2105
  • IX2106
  • IX2107
  • IX2207
  • IX2215
  • IX2235
  • IX2310
  • IX3015
  • IX3110
  • IX3315
  • IX-R2520
  • IX-R2530
  • IX-V100

脆弱性が存在するとされるソフトウェアおよびバージョンは次のとおり。

  • UNIVERGE IXシリーズ Ver.9.2からVer.9.7
  • UNIVERGE IXシリーズ Ver.10.0からVer.10.7
  • UNIVERGE IXシリーズ Ver.10.8.21からVer.10.8.27
  • UNIVERGE IXシリーズ Ver.10.9.11からVer.10.9.14
  • UNIVERGE IXシリーズ Ver.10.10.21
  • UNIVERGE IX-Rシリーズ Ver1.1.40、Ver1.1.55、Ver1.2.15
  • UNIVERGE IX-V シリーズ Ver1.1.40、Ver1.2.15

脆弱性が修正された製品

脆弱性が修正されたソフトウェアおよびバージョンは次のとおり。

  • UNIVERGE IX シリーズ Ver.10.8.33、Ver.10.9.20、Ver.10.10.27
  • UNIVERGE IX-Rシリーズ Ver1.2.22
  • UNIVERGE IX-V シリーズ Ver1.2.22

大賞の脆弱性の中で最も深刻度の高いものは重要(Important)と評価されており注意が必要。NECは影響を受ける製品を運用している管理者に対し、ソフトウェアのアップデートを推奨している。また、速やかなアップデートが困難な場合は、コマンド「no http-server ip enable」を実行し、Webコンソールを無効化する回避策を提案している。