バッファロー製Wi-Fiルーターに脆弱性 対象機種は今すぐファームウェア更新を

» 2024年04月17日 15時30分 公開
[井上翔ITmedia]

 JVN(※1)は4月15日、バッファロー製Wi-Fi(無線LAN)ルーターに関する脆弱(ぜいじゃく)性に関する情報を公開した。該当製品はできる限り早くファームウェアの更新を行うようにしたい。なお、本件はバッファローも4月10日付で告知している

(※1)Japan Vulnerability Notes:JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で運営するポータルサイト

脆弱性の概要

 今回報告された脆弱性は、以下の2つとなる。

  • CVE-2024-23486
    • 脆弱性の内容:パスワードの平文保存(CWE-256
    • 深刻度(CVSSv3):6.5(警告)
    • 起こり得る問題:当該製品のログイン画面にアクセスできる攻撃者が、ルーターに設定した認証情報(アクセスポイントのパスワード/暗号化キーなど)を盗み取る
  • CVE-2024-26023
    • 脆弱性の内容:OSコマンドインジェクション(CWE-78
    • 深刻度(CVSSv3):6.8(警告)
    • 起こり得る問題:当該製品にログインできる攻撃者が、任意のOSコマンドを実行してしまう

 基本的に、上記の攻撃はローカル(LAN)側からアクセスしないと成立しない。しかし、ルーターの設定でインターネット(WAN)経由のアクセスを許可している場合は、外部から攻撃を受ける可能性がある

脆弱性の内容 脆弱性の説明(出典:バッファロー

影響を受ける機種と対処方法

 今回の脆弱性による影響を受けるWi-Fiルーターと、ファームウェアのバージョンは以下の通りとなる。脆弱性を解消するには、表記を“超える”バージョンのファームウェアにアップデートしよう。

  • CVE-2024-26023のみ
    • WCR-1166DS(Ver.1.32まで)
    • WSR-1166DHP(Ver.1.14まで)
    • WSR-1166DHP2(Ver.1.14まで)2
  • CVE-2024-23486とCVE-2024-26023の両方
    • WSR-2533DHP(Ver.1.06まで)
    • WSR-2533DHPL(Ver.1.06まで)
    • WSR-2533DHP2(Ver.1.10まで)
    • WSR-A2533DHP2(Ver.1.10まで)

 最新のファームウェアへのリンクはバッファローの特設サイトにまとめられている。

 なお、バッファローのWi-Fiルーターは、標準設定でファームウェアの自動更新が設定されているため、よほどのことがなければ脆弱性を解消したファームウェアに更新されていると思われる。

 現在適用されているファームウェアのバージョンを調べる方法は以下の通りだ。

  1. Webブラウザから管理画面にアクセス(ログインを実施)
  2. 「詳細設定」をクリック
  3. 「ステータス」項目にある「システム」か、「管理」項目にある「システム設定」を開く
  4. バージョン番号を確認する
一覧 脆弱性の影響を受けるルーターの一例。モデル名を確認して、該当する場合はファームウェアのバージョンを今すぐチェックしよう

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年05月23日 更新
  1. 貼り付ければOK、配線不要の小型ドライブレコーダーを実際に試してみた 画質やWi-Fiスマホ連携の使い勝手を検証 (2024年05月21日)
  2. 貼り付ければOK、配線不要の小型ドライブレコーダー発売 スマート感知センサーで自動録画 (2024年04月25日)
  3. メルカリでiPhoneが高値で取引されているワケ 出品のハードルを下げる取り組み始動 (2023年09月14日)
  4. 日本のApple Watchで「心房細動履歴」を利用可能に 不整脈の改善につながる情報を提供 (2024年05月22日)
  5. ダイソーで買える550円のスマホ向けカメラグリップを試してみた “あのライカ監修スマホ”が気になってしょうがない人に向いてる? (2024年05月20日)
  6. Apple Watchを外出時にほぼ持ち出さなくなった理由 (2024年05月19日)
  7. 「即決禁止」の独自ルールも あなたの知らない「メルカリの世界」(前編) (2018年05月01日)
  8. XREALとRokidの“いいとこ取り” 新スマートグラス「VITURE Pro」は調光や視度調整に対応 GACKTコラボモデルも登場 (2024年05月21日)
  9. IIJmioとmineoが“スマホ乗っ取り”で注意喚起 副業などを口実にだまされ、eSIMを他人に渡してしまう事案 (2024年05月22日)
  10. ミッドレンジ「Xperia 10 VI」の進化ポイントを解説 デザイン刷新でも21:9ディスプレイ続投の理由は? (2024年05月20日)
最新トピックスPR

過去記事カレンダー

2024年