アイ・オー・データ機器のルーターにゼロデイ脆弱性 悪用も確認済み：セキュリティニュースアラート

アイ・オー・データ機器のルーターに複数の深刻な脆弱性が発覚した。これらの脆弱性はファイアウォール無効化や認証情報窃取を引き起こす可能性があり、既に悪用も確認されている。

[後藤大地，有限会社オングス]

　情報処理推進機構（以下、IPA）は2024年12月4日、アイ・オー・データ機器が提供するルーターに複数の深刻な脆弱（ぜいじゃく）性が存在することを伝えた。

　これらの脆弱性が悪用された場合、認証情報を窃取されたり、任意のOSコマンドを実行されたり、ファイアウォールを無効化され機器の設定を変更されたりする可能性があるため注意が必要だ。

IPAが警告、アイ・オー・データ機器のルーターに複数のセキュリティリスク

　アイ・オー・データ機器が提供するハイブリッドLTEルーターである「UD-LT1」および「UD-LT1/EX」に複数の脆弱性があることが分かった。特定されている脆弱性は以下の通りだ。

• CVE-2024-52564：　ドキュメント化されていない機能の脆弱性。遠隔の第三者によってファイアウォールを無効化され、その結果当該機器上で任意のOSコマンドを実行されたり、機器の設定を変更されたりされる恐れがある。CVSSスコアは7.5で、深刻度「重要」（High）に分析されている
• CVE-2024-47133：　OSコマンドインジェクションの脆弱性。当該機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される恐れがある。CVSSスコアは7.2で、深刻度「重要」（High）に分析されている
• CVE-2024-45841：　不適切なアクセス権限付加の脆弱性。当該機器のguestアカウントを知る第三者に特定のファイルにアクセスされた場合、認証情報を含む情報を窃取される。CVSSスコアは6.5で、深刻度「警告」（Medium）と分析されている

　影響を受けるバージョンは以下の通りだ。

• UD-LT1 ファームウェア Ver.2.1.8およびこれ以前のバージョン
• UD-LT1/EX ファームウェア Ver.2.1.8およびこれ以前のバージョン

　深刻度が最も高いCVE-2024-52564に関してはパッチを適用したファームウェアが提供されている。

• UD-LT1 ファームウェア Ver.2.1.9
• UD-LT1/EX ファームウェア Ver.2.1.9

　CVE-2024-45841とCVE-2024-47133については、修正済みファームウェアは公開されていない。アイ・オー・データ機器はこれらの脆弱性に対応したファームウェア Ver.2.2.0を2024年12月18日頃にリリース予定であることを伝えている。それまではアイ・オー・データ機器が発表している緩和策を実施するよう推奨している。

　同脆弱性は既に悪用が確認されていることから注意が必要だ。該当製品を使用している場合、速やかに製品開発者が提供する情報を基にアップデートおよび緩和策を実施することが望まれる。