ニュース
「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを
(2013/3/19 18:55)
独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は19日、共同運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」において、NEC製の複数の無線ルーター製品にクロスサイトリクエストフォージェリ(CSRF)の脆弱性があることを公表した。ユーザーに対して、ファームウェアのアップデートまたは回避策の適用をするよう呼び掛けている。
ウェブブラウザーでアクセスするルーターの設定画面にCSRFの脆弱性があり、ユーザーが当該製品にログインした状態で悪意のあるページを読み込んだ場合、設定の初期化や再起動をさせられる可能性があるとしている。
NECでも同日付でセキュリティ情報を公開。「Aterm」シリーズが脆弱性の影響を受けることを明らかにした。対象となるのは、同シリーズのWiMAXルーター全製品(「WM3800R」を除く)と、2011年以前に発売開始したAtermシリーズの無線LAN親機。なお、「WM3800R」「WR9300N」「WR8750N」「WR8175N」「WR8165N」「WM3800R」は対策済みのため、そのまま安心して利用できるとしている。
ファームウェアのアップデートにより対策できるのは、「WR9500N」「WR8600N」「WR8370N」「WR8160N」「WM3600R」「WM3450RN」で、これら6製品についてNECではファームウェアのアップデート版を公開している。
一方、これら以外の製品については、対策済みファームウェアが提供されていない。脆弱性の影響を軽減する回避策として、設定画面の「クイック設定Web」を開いた場合はできるだけ短い時間で設定を行い、設定終了後は必ず、速やかにブラウザーをすべて閉じるよう求めている。ブラウザーを閉じるまでは悪意のある第三者からの攻撃を受ける可能性があるのだという。
さらに、ブラウザーにSafariを使っている場合は、ブラウザーを閉じるだけでは攻撃を受ける可能性があるため、BASIC認証情報を削除する必要があるとし、その手順も説明している。