|
[English]
|
JVNDB-2024-004595
|
センチュリー・システムズ製 FutureNet NXR シリーズ、 VXR シリーズおよび WXR シリーズにおける複数の脆弱性
|
|
センチュリー・システムズ株式会社が提供するルータである FutureNet NXR シリーズ、 VXR シリーズおよび WXR シリーズには、次の複数の脆弱性が存在します。
* 安全でない初期設定 (CWE-1188)
CVE-2024-31070
* 利用可能なデバッグ機能 (CWE-489)
CVE-2024-36475
* OS コマンドインジェクション (CWE-78)
CVE-2024-36491
* バッファオーバーフロー (CWE-120)
CVE-2020-10188
当該製品では、既知の脆弱性を含む netkit-telnet が使用されています。
CVE-2024-31070 、 CVE-2024-36475
これらの脆弱性情報は、下記の方が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 佐藤勝彦(goroh_kun) 氏
CVE-2024-36491 、 CVE-2020-10188
これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-31070 の評価になります。
|
CVSS v3 による深刻度
基本値:9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-3649 の評価になります。
|
CVSS v3 による深刻度
基本値:9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2020-10188 の評価になります。
|
CVSS v3 による深刻度
基本値:7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-36475 の評価になります。
|
|
|
センチュリー・システムズ
- FutureNet NXR-120/C ファームウェア Version 5.25.7H およびそれ以前
- FutureNet NXR-1200 ファームウェア Version 5.25.21 およびそれ以前
- FutureNet NXR-125/CX ファームウェア Version 5.25.7H およびそれ以前
- FutureNet NXR-130/C ファームウェア Version 5.13.21 およびそれ以前
- FutureNet NXR-1300 シリーズ ファームウェア Version 7.4.9 およびそれ以前
- FutureNet NXR-155/C シリーズ ファームウェア Version 5.22.5M およびそれ以前
- FutureNet NXR-160/LW ファームウェア Version 21.8.3 およびそれ以前
- FutureNet NXR-230/C ファームウェア Version 5.30.12 およびそれ以前
- FutureNet NXR-350/C ファームウェア Version 5.30.9 およびそれ以前
- FutureNet NXR-530 ファームウェア Version 21.11.13 およびそれ以前
- FutureNet NXR-610X シリーズ ファームウェア Version 21.14.11 およびそれ以前
- FutureNet NXR-650 ファームウェア Version 21.16.1 およびそれ以前
- FutureNet NXR-G050 シリーズ ファームウェア Version 21.12.9 およびそれ以前
- FutureNet NXR-G060 シリーズ ファームウェア Version 21.15.5 およびそれ以前
- FutureNet NXR-G100 シリーズ ファームウェア Version 6.23.10 およびそれ以前
- FutureNet NXR-G110 シリーズ ファームウェア Version 21.7.30C およびそれ以前
- FutureNet NXR-G120 シリーズ ファームウェア Version 21.15.2 およびそれ以前
- FutureNet NXR-G180/L-CA ファームウェア Version 21.7.28B およびそれ以前
- FutureNet NXR-G200 シリーズ ファームウェア Version 9.12.15 およびそれ以前
- FutureNet VXR/x64 ファームウェア Version 21.7.31 およびそれ以前
- FutureNet VXR/x86 ファームウェア Version 10.1.4 およびそれ以前
- FutureNet WXR-250 ファームウェア Version 1.4.7 およびそれ以前
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* Telnet に無制限でアクセスされる (CVE-2024-31070)
* デバッグ機能の使用方法を知っているユーザがログインした場合、デバッグ機能を使用され、任意の OS コマンドを実行される (CVE-2024-36475)
* 遠隔の第三者によって、任意の OS コマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害 (DoS) 攻撃を受ける (CVE-2024-36491、CVE-2020-10188)
|
|
CVE-2024-31070
開発者は、当該製品を初期設定のまま使用している場合、 CLI コマンドを利用して Telnet を無効化し、 SSH の利用を推奨しています。
なお、当該製品において 2024/06/28 以降にリリースされたファームウェアバージョンでは、初期設定で Telnet が無効化され、 SSH が有効化されているとのことです。
CVE-2024-36475 、 CVE-2024-36491 、 CVE-2020-10188
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
[現行製品の利用を停止し、後続製品に移行する]
開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているとのことです。
(参考:販売終息製品 | 製品情報)
これらサポートを終了した製品については、製品の使用停止もしくは後続製品への移行が推奨されています。
詳細は、開発者が提供する情報をご確認ください。
|
|
センチュリー・システムズ
|
|
- リソースの安全ではないデフォルト値への初期化(CWE-1188) [その他]
- 古典的バッファオーバーフロー(CWE-120) [その他]
- アクティブ状態のデバッグコード(CWE-489) [その他]
- OSコマンドインジェクション(CWE-78) [その他]
|
|
- CVE-2024-31070
- CVE-2024-36475
- CVE-2024-36491
- CVE-2020-10188
|
|
- JVN : JVNVU#96424864
|
|
|
