NECは12日、Atermシリーズの3製品に脆弱性があったことを明らかにした。該当製品は、Wi-Fiルーター「Aterm WG1200HP」、Wi-Fiポータブルルーター「Aterm W300P」、ネットワークカメラ「Aterm HC100RC」で、問題を修正したファームウェア(機器内部のソフトウェア)がすでに公開されている。
該当製品を使用している方は、ファームウェアのバージョンを確認し、最新版でなかった場合は更新していただきたい。
また同社では、Wi-Fiルーター「Aterm WF800HP」、「Aterm WG1200HP2」、「Aterm WG1200HS2」についても,6月28日付で、セキュリティを向上させたファームウェアを公開している。これらの製品を使用している方も、ファームウェアのバージョン確認や更新を行っていただきたい。
・ファームウェアのバージョンを確認したい(NEC)
http://www.aterm.jp/support/qa/qa/00044.html
・ファームウェアを最新バージョンに更新したい(NEC)
http://www.aterm.jp/support/qa/qa/00053.html
・Aterm製品における不正アクセスに対するセキュリティ向上について(NEC)
http://www.aterm.jp/support/tech/2018/0628.html
■今回明らかにされた「WG1200HP」「W300P」「HC100RC」の脆弱性
同社によると、任意のOSコマンドを実行されるおそれのあるコマンドインジェクションの問題が3製品に、また、任意のコードが実行されるおそれのあるバッファオーバーフローの問題がW300PとHC100RCに存在する。これらが悪用された場合、製品の設定が変更されたり、再起動や意図しない動作が発生したりする可能性がある。JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が運営するJVN(Japan Vulnerability Notes")からも、12日付でこれらの脆弱性情報が公開されている。
Wi-Fiルーター「Aterm WG1200HP」は2015年1月に発売された製品で、すでに生産が終了している。脆弱性の影響を受けるのはファームウェア「Ver1.0.31」およびそれ以前で、最新の「Ver1.0.32」(2017年11月30日公開)で問題が修正されている。
Wi-Fiポータブルルーター「Aterm W300P」は2013年11月に発売された製品で、すでに生産が終了している。脆弱性の影響を受けるのはファームウェア「Ver1.0.13」およびそれ以前で、最新の「Ver1.0.14」(2017年11月30日公開)で問題が修正されている。
ネットワークカメラ「Aterm HC100RC」は2015年2月に発売された製品で、上記「Aterm W300P」とセットで販売されている。脆弱性の影響を受けるのはファームウェア「Ver1.0.1」およびそれ以前で、最新の「Ver1.0.2」(2018年6月28日公開)で問題が修正されている。
(2018/07/13 ネットセキュリティニュース)
【関連URL】
・Atermシリーズに複数の脆弱性(NEC)
https://jpn.nec.com/security-info/secinfo/nv18-011.html
・JVN#00401783:Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性(JVN)
https://jvn.jp/jp/JVN00401783/index.html
・JVN#26629618:Aterm W300P における複数の脆弱性(JVN)
https://jvn.jp/jp/JVN26629618/index.html
・JVN#84825660:Aterm HC100RC における複数の脆弱性(JVN)
https://jvn.jp/jp/JVN84825660/index.html