ニュース
アイ・オー・データ機器のルーターにゼロデイ脆弱性 悪用も確認済み:セキュリティニュースアラート
アイ・オー・データ機器のルーターに複数の深刻な脆弱性が発覚した。これらの脆弱性はファイアウォール無効化や認証情報窃取を引き起こす可能性があり、既に悪用も確認されている。
情報処理推進機構(以下、IPA)は2024年12月4日、アイ・オー・データ機器が提供するルーターに複数の深刻な脆弱(ぜいじゃく)性が存在することを伝えた。
これらの脆弱性が悪用された場合、認証情報を窃取されたり、任意のOSコマンドを実行されたり、ファイアウォールを無効化され機器の設定を変更されたりする可能性があるため注意が必要だ。
IPAが警告、アイ・オー・データ機器のルーターに複数のセキュリティリスク
アイ・オー・データ機器が提供するハイブリッドLTEルーターである「UD-LT1」および「UD-LT1/EX」に複数の脆弱性があることが分かった。特定されている脆弱性は以下の通りだ。
- CVE-2024-52564: ドキュメント化されていない機能の脆弱性。遠隔の第三者によってファイアウォールを無効化され、その結果当該機器上で任意のOSコマンドを実行されたり、機器の設定を変更されたりされる恐れがある。CVSSスコアは7.5で、深刻度「重要」(High)に分析されている
- CVE-2024-47133: OSコマンドインジェクションの脆弱性。当該機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される恐れがある。CVSSスコアは7.2で、深刻度「重要」(High)に分析されている
- CVE-2024-45841: 不適切なアクセス権限付加の脆弱性。当該機器のguestアカウントを知る第三者に特定のファイルにアクセスされた場合、認証情報を含む情報を窃取される。CVSSスコアは6.5で、深刻度「警告」(Medium)と分析されている
影響を受けるバージョンは以下の通りだ。
- UD-LT1 ファームウェア Ver.2.1.8およびこれ以前のバージョン
- UD-LT1/EX ファームウェア Ver.2.1.8およびこれ以前のバージョン
深刻度が最も高いCVE-2024-52564に関してはパッチを適用したファームウェアが提供されている。
- UD-LT1 ファームウェア Ver.2.1.9
- UD-LT1/EX ファームウェア Ver.2.1.9
CVE-2024-45841とCVE-2024-47133については、修正済みファームウェアは公開されていない。アイ・オー・データ機器はこれらの脆弱性に対応したファームウェア Ver.2.2.0を2024年12月18日頃にリリース予定であることを伝えている。それまではアイ・オー・データ機器が発表している緩和策を実施するよう推奨している。
同脆弱性は既に悪用が確認されていることから注意が必要だ。該当製品を使用している場合、速やかに製品開発者が提供する情報を基にアップデートおよび緩和策を実施することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ZabbixにCVSS 9.9の深刻な脆弱性 迅速なアップデートを推奨
Zabbixは監視ソリューション「Zabbix」に深刻な脆弱性があると報告した。リモートからの任意コード実行や権限昇格のリスクがあり、速やかなアップデートが推奨される。
徳丸 浩氏が2025年の脅威を予測 生成AIの悪用はどこまで現実化するのか?
サイリーグホールディングスが開催した記者説明会で、セキュリティ業界のご意見番である徳丸 浩氏が個人的に気になった2024年のセキュリティ事件を振り返り、2025年の脅威予測を発表した。
AWSが新たなセキュリティサービスを発表 24時間体制でインシデント対応を支援
AWSは新たなセキュリティサービス「AWS Security Incident Response」を発表した。AWSの専門チームが24時間365日体制でサポートし、セキュリティイベントの調査や対応を支援するという。
人気のファイルアーカイバー「7-Zip」に任意コード実行の脆弱性 直ちに更新を
7-Zipに脆弱性「CVE-2024-11477」が発表された。この脆弱性はリモートからの任意のコード実行を可能にするため、ユーザーは迅速なアップデートが推奨されている。