ニュース

バッファローの法人向け無線LANアクセスポイントに危険な脆弱性、telnet認証不備で第三者から設定機能にアクセスされる可能性

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は20日、株式会社バッファローの法人向け無線LANアクセスポイント「WAPM-1166D」「WAPM-APG600H」の2製品におけるtelnet認証不備の脆弱性について、脆弱性情報ポータル「JVN」で注意を喚起した。

 脆弱性「CVE-2017-2126」は、第三者により認証を経ずにtelnetでログインされ、製品の設定機能にアクセスされる可能性があるもの。共通脆弱性評価システム「CVSS v3」のスコアは9.8ポイント。

 脆弱性の影響を受けるのは、WAPM-1166Dがバージョン「1.2.7」以前、WAPM-APG600Hがバージョン「1.16.1」以前のファームウエア。バッファローでは、脆弱性を修正したファームウェアを提供している。

 脆弱性に関する告知ページによれば、WAPM-1166D向けはバージョン「1.4.3」以降、WAPM-APG600H向けにはバージョン「1.18.1」以降で脆弱性が修正されているという。それぞれの最新ファームウェアは、WAPM-1166Dが「1.10.3」、WAPM-APG600Hが「1.20.0」となっている。

WAPM-1166D
WAPM-APG600H

 なお、IPAとJPCERT/CCでは、バッファローのポータブル無線LANルーター「WMR-433」「WMR-433W」における脆弱性についても注意を喚起している。「CVE-2017-2273」はクロスサイトリクエストフォージェリ、「CVE-2017-2274」は反射型クロスサイトスクリプティングの脆弱性。前者はCVSS v3スコアが4.3ポイント。後者は6.1ポイント。バッファローではいずれもファームウェアバージョン「1.50」以降へのアップデートを推奨している。

WMR-433