【活用ガイド】

[English]

JVNDB-2021-001380

バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

概要

バッファロー製の複数のネットワーク機器には、隣接するネットワーク上の第三者によりデバッグ機能を有効化される問題が存在します。

株式会社バッファローが提供する複数のネットワーク機器には、ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) が存在します。

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.8 (重要) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


バッファロー
  • FS-G54 ファームウェア Ver.2.04 およびそれ以前
  • WBR-B11 ファームウェア Ver.2.23 およびそれ以前
  • WBR-G54 ファームウェア Ver.2.23 およびそれ以前
  • WBR-G54L ファームウェア Ver.2.20 およびそれ以前
  • WBR2-B11 ファームウェア Ver.2.32 およびそれ以前
  • WBR2-G54 ファームウェア Ver.2.32 およびそれ以前
  • WBR2-G54-KD ファームウェア Ver.2.32 およびそれ以前
  • WHR-G54 ファームウェア Ver.2.16 およびそれ以前
  • WHR-G54-NF ファームウェア Ver.2.10 およびそれ以前
  • WHR2-A54G54 ファームウェア Ver.2.25 およびそれ以前
  • WHR2-G54 ファームウェア Ver.2.23 およびそれ以前
  • WHR3-AG54 ファームウェア Ver.2.23 およびそれ以前
  • WLA-B11 ファームウェア Ver.2.20 およびそれ以前
  • WLA-G54 ファームウェア Ver.2.20 およびそれ以前
  • WLA-G54C ファームウェア Ver.2.20 およびそれ以前
  • WLA2-G54 ファームウェア Ver.2.24 およびそれ以前
  • WLA2-G54C ファームウェア Ver.2.24 およびそれ以前
  • WLAH-A54G54 ファームウェア Ver.2.54 およびそれ以前
  • WLAH-AM54G54 ファームウェア Ver.2.54 およびそれ以前
  • WLAH-G54 ファームウェア Ver.2.54 およびそれ以前
  • WLI-T1-B11 ファームウェア Ver.2.20 およびそれ以前
  • WLI-TX1-G54 ファームウェア Ver.2.20 およびそれ以前
  • WLI2-TX1-AG54 ファームウェア Ver.2.53 およびそれ以前
  • WLI2-TX1-AMG54 ファームウェア Ver.2.53 およびそれ以前
  • WLI2-TX1-G54 ファームウェア Ver.2.20 およびそれ以前
  • WLI3-TX1-AMG54 ファームウェア Ver.2.53 およびそれ以前
  • WLI3-TX1-G54 ファームウェア Ver.2.53 およびそれ以前
  • WVR-G54-NF ファームウェア Ver.2.02 およびそれ以前
  • WZR-G108 ファームウェア Ver.2.41 およびそれ以前
  • WZR-G54 ファームウェア Ver.2.41 およびそれ以前
  • WZR-HP-G54 ファームウェア Ver.2.41 およびそれ以前
  • BHR-4RV ファームウェア Ver.2.55 およびそれ以前
  • WHR2-G54V ファームウェア Ver.2.55 およびそれ以前
  • WZR-RS-G54 ファームウェア Ver.2.55 およびそれ以前
  • WZR-RS-G54HP ファームウェア Ver.2.55 およびそれ以前

想定される影響

隣接するネットワーク上の第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性があります。
対策

[製品の使用を停止する]
当該製品のサポートは終了しており、修正アップデートは提供されません。
開発者は恒久的対策として、製品の使用を停止し、代替製品へ移行することを推奨しています。詳細は開発者が提供する情報を参照してください。
ベンダ情報

バッファロー
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 非公開の機能(CWE-912) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-20716
参考情報

  1. JVN : JVNVU#90274525
更新履歴

  • [2021年04月28日]
      掲載
  • [2021年05月07日]
      概要:内容を更新
      想定される影響:内容を更新