[English]
|
JVNDB-2021-000028
|
複数の Aterm 製品における複数の脆弱性
|
日本電気株式会社が提供する複数の Aterm 製品には、複数の脆弱性が存在します。
・クロスサイトスクリプティング (CWE-79) - CVE-2021-20680
・UPnP 経由での OS コマンドインジェクション (CWE-78) - CVE-2014-8361
CVE-2021-20680
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 米山 俊嗣 氏
CVE-2014-8361
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所 永岡 悟 氏、株式会社ゼロゼロワン 嘉代 稜 氏、佐藤 勝彦(goroh_kun)氏、日本電信電話株式会社 藤田 倫太朗 氏
|
CVSS v3 による深刻度 基本値: 8.8 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 5.8 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
※上記は、CVE-2014-8361の評価になります。
|
CVSS v3 による深刻度
基本値:
6.1 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.3 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 中
-
攻撃前の認証要否: 不要
-
機密性への影響(C): なし
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2021-20680の評価になります。
|
|
日本電気
- Aterm W1200EX ファームウェア Ver.1.3.1 およびそれ以前
- Aterm W1200EX-MS ファームウェア Ver.1.3.1 およびそれ以前
- Aterm W300P ファームウェア すべてのバージョン
- Aterm W500P ファームウェア すべてのバージョン
- Aterm WF300HP2 ファームウェア すべてのバージョン
- Aterm WF800HP ファームウェア すべてのバージョン
- Aterm WG1200HP ファームウェア すべてのバージョン
- Aterm WG1200HP2 ファームウェア Ver.2.5.0 およびそれ以前
- Aterm WG1200HP3 ファームウェア Ver.1.3.1 およびそれ以前
- Aterm WG1200HS ファームウェア すべてのバージョン
- Aterm WG1200HS2 ファームウェア Ver.2.5.0 およびそれ以前
- Aterm WG1200HS3 ファームウェア Ver.1.1.2 およびそれ以前 - CVE-2021-20680のみ影響
- Aterm WG1800HP3 ファームウェア Ver.1.5.1 およびそれ以前
- Aterm WG1800HP4 ファームウェア Ver.1.3.1 およびそれ以前
- Aterm WG1900HP ファームウェア Ver.2.5.1 およびそれ以前
- Aterm WG1900HP2 ファームウェア Ver.1.3.1 およびそれ以前
- Aterm WR8165N ファームウェア すべてのバージョン
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-20680
・当該製品で UPnP が有効な場合、当該製品にアクセス可能な第三者により任意の OS コマンドが実行される - CVE-2014-8361
|
[アップデートする]
以下の機種は開発者が提供する情報をもとにファームウェアを最新版へアップデートしてください。
WG1900HP2、WG1900HP、WG1800HP4、WG1200HS3、WG1200HS2、WG1200HP3、WG1200HP2、W1200EX、W1200EX-MS
なお、開発者によると、WG1800HP3 のファームウェアアップデートは後日提供予定とのことです。提供まではワークアラウンドを実施してください。
[ワークアラウンドを実施する]
開発者によると、以下の機種はファームウェアの提供は予定していないとのことです。
WG1200HS、WG1200HP、WF800HP、WF300HP2、WR8165N、W500P、W300P
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・クイック設定Web の管理者パスワードと Wi-Fi(無線)の暗号化キーを堅牢なものに変更する
・CVE-2021-20680
- ウェブサイトにアクセスする場合には、信頼できる情報源から URL を取得してアク
セスしたあと、お気に入りに登録し、2 回目以降のアクセスは、登録済みのお気に入
りから行う
- クイック設定Web を開いた場合は、設定終了後にブラウザをすべて閉じる
- クイック設定Web の認証情報がブラウザに保存されている場合、認証情報を削除する
・CVE-2014-8361
- UPnP 機能を無効にする
|
日本電気
|
- OSコマンドインジェクション(CWE-78) [IPA評価]
- クロスサイトスクリプティング(CWE-79) [IPA評価]
|
- CVE-2014-8361
- CVE-2021-20680
|
- JVN : JVN#67456944
- National Vulnerability Database (NVD) : CVE-2014-8361
- National Vulnerability Database (NVD) : CVE-2021-20680
|
|