ニュース

1200万台以上のルーターに影響する深刻な脆弱性、古い製品のユーザーも確認を

 Check Point Software Technologiesは、一般家庭や小規模企業で広く使用されているルーター製品に深刻な脆弱性「CVE-2014-9222」を発見したと発表した。

 Check Pointが「Misfortune Cookie」と呼ぶこの脆弱性を悪用すると、外部からルーター製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。

 Check Pointでは、Misfortune Cookieは最近見つかった中では最も広範囲に影響する脆弱性の1つで、現時点でインターネットに接続された世界中の端末1200万台以上が容易に攻撃可能な状態だとしている。

 脆弱性が見つかったのは、AllegroSoftが提供する組み込みのウェブサーバープログラム「RomPager」で、多くの場合、このプログラムはデバイス内蔵のファームウェアに組み込まれている。脆弱性は、Allegro RomPager 4.34より前のバージョンを実装したファームウェアに影響がある。

 脆弱性については、AllegroSoftが2005年に修正しているが、複数のルーターのファームウェアには、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerが使用されているという。

 Check Pointでは、脆弱性が存在する製品のリストを公表している。ASUS、D-Link、Edimax、Huawei、TP-Link、ZTE、ZyXELといったメーカーの多数の製品が対象となっており、リストに多く挙がっているのはADSLモデム製品だ。また、かなり古い製品も多い。例えば、日本のメーカーの製品としては、アイ・オー・データ機器の「NP-BBRsx」と、バッファローの「BLR-TX4L」がリストにあるが、NP-BBRsxは2002年発売、BLR-TX4Lは2001年発売の製品だ。

Check Pointでは対象製品リストを公開している

 脆弱性への対策としては、対策済みの最新版ファームウェアにアップデートすることや、WAN側インターフェイスのHTTP通信やHTTPS通信を無効にすることが挙げられている。

(三柳 英樹)