NETGEARは2月1日(米国時間)、同社のルータおよびアクセスポイントに緊急の脆弱性が存在するとしてアップデートを公開した。脆弱性は2件で、それぞれ異なる製品群から発見されている。
NETGEARの発表は次のとおり。
- Security Advisory for Unauthenticated RCE on Some WiFi Routers, PSV-2023-0039 - NETGEAR Support
- Security Advisory for Authentication Bypass on Some Wireless Access Points, PSV-2024-0117 - NETGEAR Support
-
Security Advisory for Unauthenticated RCE on Some WiFi Routers, PSV-2023-0039 - NETGEAR Support
脆弱性の情報
発見された脆弱性は脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されていない。NETGEARはそれぞれ独自のPSV IDを割り当て、次のように解説している。
- PSV-2023-0039 - 認証されていないリモートコード実行(RCE: Remote Code Execution)の脆弱性(CVSSスコア: 9.8)
- PSV-2024-0117 - 認証バイパスの脆弱性(CVSSスコア: 9.6)
脆弱性が存在する製品
脆弱性が存在する製品およびファームウェアバージョンは次のとおり。
- XR1000 ファームウェアバージョン1.0.0.74よりも前のバージョン
- XR1000v2 ファームウェアバージョン1.1.0.22よりも前のバージョン
- XR500 ファームウェアバージョン2.3.2.134よりも前のバージョン
- WAX206 ファームウェアバージョン1.0.5.3よりも前のバージョン
- WAX220 ファームウェアバージョン1.0.3.5よりも前のバージョン
- WAX214v2 ファームウェアバージョン1.0.2.5よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- XR1000 ファームウェアバージョン1.0.0.74
- XR1000v2 ファームウェアバージョン1.1.0.22
- XR500 ファームウェアバージョン2.3.2.134
- WAX206 ファームウェアバージョン1.0.5.3
- WAX220 ファームウェアバージョン1.0.3.5
- WAX214v2 ファームウェアバージョン1.0.2.5
修正された脆弱性の深刻度はいずれも緊急(Critical)と評価されており注意が必要。NETGEARは上記のWebサイトからファームウェアのアップデート手順を公開しており、当該製品を運用している管理者に速やかなアップデートを推奨している。
