ニュース
BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。
米カーネギーメロン大学のCERT/CCは12月10日、BuffaloやNetgearなど大手の製品を含むルータの脆弱性に関する情報を公開した。
CERT/CCによると、BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。Buffaloのルータは「AirStation Extreme N600 Router WZR-600DHP2」(ファームウェアバージョン2.09, 2.13, 2.16)、Netgearは「G54/N150 Wireless Router WNR1000v3」(ファームウェアバージョン1.0.2.68)で、それぞれ脆弱性が確認された。他のモデルやバージョンも影響を受ける可能性がある。
脆弱性は、LANからの全DNSクエリについて静的なソースポートが使われていることに起因する。悪用された場合、DNSレスポンスが偽装され、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがあるという。
また、ZyXELのルータ「NBG-418N」とReadyNetのワイヤレスルータ「WRT300N-DD」には、それぞれクロスサイトリクエストフォージェリの脆弱性が見つかっている。
脆弱性はいずれもCERT/CCの研究者が発見した。現時点で解決策は確認されていないという。
関連記事
- 脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響
「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。 - 多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。 - Samsungの「スマート冷蔵庫」に脆弱性、他人にのぞき見される恐れ
中間者攻撃を仕掛けられ、Googleサービスへのログイン情報を盗まれる恐れがあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.