バッファローは16日、同社製無線LANルーターの一部に脆弱性があることを明らかにし、ファームウェアを最新版に更新するよう呼びかけた。また、Japan Vulnerability Note(JVN)は9日、ASUSの無線LANルーターに脆弱性があることを公表し、ファームウェアの更新を呼びかけている。
■バッファロー「WXR-2533DHP2」「WXR-2533DHP」
WXR-2533DHP2は2016年6月、WXR-2533DHPは2015年6月に発売された製品。これらが使用しているDnsmasq(広く使われている小規模環境向けのDNSおよびDHCPサーバー)には、ヒープベースやスタックベースのバッファオーバーフロー、情報漏えい、リソース枯渇、整数アンダーフローの脆弱性が存在する。これらにより、DNSやDHCPプロトコル経由で、遠隔の第三者によって任意のコード実行や、情報の漏えい、サービス運用妨害(DoS)攻撃が行われる可能性がある。
対策を施したファームウェアが公開されており、同社のホームページからダウンロードできる。
・一部無線LAN製品におけるDnsmasqの脆弱性(バッファロー)
http://buffalo.jp/support_s/s20180516.html
■ASUS「RT-AC1200HP」「RT-AC87U」「RT-AC68U」
RT-AC1200HPは2015年9月、RT-AC87Uは2014年9月、RT-AC68Uは2013年11月に発売された製品。これらにはクロスサイトスクリプティングの脆弱性があり、ウェブブラウザ上で任意のスクリプトを実行される可能性がある。
AC1200HPは、2017年1月公開のファームウェア「バージョン3.0.0.4.380.4180」で対策済み。AC87Uは2015年12月公開のファームウェア「バージョン3.0.0.4.378.9383」、AC68Uは同じく2015年12月公開のファームウェア「バージョン 3.0.0.4.380.1031」で対策済み。
最新のファームウェアはASUSのホームページからダウンロードできる。
・RT-AC1200HP ファームウェア(ASUS)
https://www.asus.com/jp/Networking/RTAC1200HP/HelpDesk_BIOS/
・RT-AC87U ファームウェア(ASUS)
https://www.asus.com/jp/Networking/RTAC87U/HelpDesk_BIOS/
・RT-AC68U ファームウェア(ASUS)
https://www.asus.com/jp/Networking/RTAC68U/HelpDesk_BIOS/
・RT-AC1200HP におけるクロスサイトスクリプティングの脆弱性(JVN)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000043.html
・RT-AC87U におけるクロスサイトスクリプティングの脆弱性(JVN)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000042.html
・RT-AC68U におけるクロスサイトスクリプティングの脆弱性(JVN)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000044.html
(2018/05/17 ネットセキュリティニュース)