米Netgearのスイッチに、ログイン情報がコードの中に埋め込まれているハードコードの脆弱性があることが分かり、米セキュリティ機関CERT/CCが7月3日に脆弱性情報を公開した。
それによると、脆弱性は「Netgear GS108PE Prosafe Plus Switch」のファームウェアバージョン1.2.0.5に存在する。ユーザー名とパスワードがハードコードされていて、同スイッチで運営されているWebサーバへのログインに使われる恐れがあるという。
Webサーバにログインすれば、シリアル番号やMACアドレスを改ざんしたり、新しいファームウェアをアップロードしたりすることが可能になり、リモートの攻撃者に任意のコードを実行される恐れもある。
Netgearには5月19日にこの問題が通知されたが、同社の対応は不明。CERT/CCは現時点で、現実的な解決策は把握していないとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR