バッファロー製Wi-Fiルーターに脆弱性 対象機種は今すぐファームウェア更新を

[井上翔，ITmedia]

　JVN（※1）は4月15日、バッファロー製Wi-Fi（無線LAN）ルーターに関する脆弱（ぜいじゃく）性に関する情報を公開した。該当製品はできる限り早くファームウェアの更新を行うようにしたい。なお、本件はバッファローも4月10日付で告知している。

（※1）Japan Vulnerability Notes：JPCERTコーディネーションセンター（JPCERT/CC）と情報処理推進機構（IPA）が共同で運営するポータルサイト

脆弱性の概要

　今回報告された脆弱性は、以下の2つとなる。

• CVE-2024-23486
  • 脆弱性の内容：パスワードの平文保存（CWE-256）
  • 深刻度（CVSSv3）：6.5（警告）
  • 起こり得る問題：当該製品のログイン画面にアクセスできる攻撃者が、ルーターに設定した認証情報（アクセスポイントのパスワード／暗号化キーなど）を盗み取る
• CVE-2024-26023
  • 脆弱性の内容：OSコマンドインジェクション（CWE-78）
  • 深刻度（CVSSv3）：6.8（警告）
  • 起こり得る問題：当該製品にログインできる攻撃者が、任意のOSコマンドを実行してしまう

　基本的に、上記の攻撃はローカル（LAN）側からアクセスしないと成立しない。しかし、ルーターの設定でインターネット（WAN）経由のアクセスを許可している場合は、外部から攻撃を受ける可能性がある。

脆弱性の説明（出典：バッファロー）

影響を受ける機種と対処方法

　今回の脆弱性による影響を受けるWi-Fiルーターと、ファームウェアのバージョンは以下の通りとなる。脆弱性を解消するには、表記を“超える”バージョンのファームウェアにアップデートしよう。

• CVE-2024-26023のみ
  • WCR-1166DS（Ver.1.32まで）
  • WSR-1166DHP（Ver.1.14まで）
  • WSR-1166DHP2（Ver.1.14まで）2
• CVE-2024-23486とCVE-2024-26023の両方
  • WSR-2533DHP（Ver.1.06まで）
  • WSR-2533DHPL（Ver.1.06まで）
  • WSR-2533DHP2（Ver.1.10まで）
  • WSR-A2533DHP2（Ver.1.10まで）

　最新のファームウェアへのリンクはバッファローの特設サイトにまとめられている。

　なお、バッファローのWi-Fiルーターは、標準設定でファームウェアの自動更新が設定されているため、よほどのことがなければ脆弱性を解消したファームウェアに更新されていると思われる。

　現在適用されているファームウェアのバージョンを調べる方法は以下の通りだ。

1. Webブラウザから管理画面にアクセス（ログインを実施）
2. 「詳細設定」をクリック
3. 「ステータス」項目にある「システム」か、「管理」項目にある「システム設定」を開く
4. バージョン番号を確認する

脆弱性の影響を受けるルーターの一例。モデル名を確認して、該当する場合はファームウェアのバージョンを今すぐチェックしよう