Netgearのスイッチにパスワード埋め込みの脆弱性

[鈴木聖子，ITmedia]

脆弱性を指摘された製品（Netgearサイトより）

　米Netgearのスイッチに、ログイン情報がコードの中に埋め込まれているハードコードの脆弱性があることが分かり、米セキュリティ機関CERT/CCが7月3日に脆弱性情報を公開した。

　それによると、脆弱性は「Netgear GS108PE Prosafe Plus Switch」のファームウェアバージョン1.2.0.5に存在する。ユーザー名とパスワードがハードコードされていて、同スイッチで運営されているWebサーバへのログインに使われる恐れがあるという。

　Webサーバにログインすれば、シリアル番号やMACアドレスを改ざんしたり、新しいファームウェアをアップロードしたりすることが可能になり、リモートの攻撃者に任意のコードを実行される恐れもある。

　Netgearには5月19日にこの問題が通知されたが、同社の対応は不明。CERT/CCは現時点で、現実的な解決策は把握していないとしている。