ニュース

ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性

 ヤマハ株式会社が発売したVoIPルーター「RT57i」「RT58i」「NVR500」、VPNルーター「RTX810」、ファイアウォール「FWX120」に脆弱性があるとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、Japan Vulnerability Note(JVN)が情報を公開した。

 ネットワーク機器の管理画面にスクリプトインジェクションの脆弱性がCVE番号ベースで2件存在しており、いずれも管理者権限でアクセス可能なユーザーによってウェブブラウザー上で任意のスクリプトを実行される可能性がある。

 CVE番号は「CVE-2018-0665」「CVE-2018-0666」。いずれも共通脆弱性評価システムCVSS v3のスコアは4.3。なお、同社製無線LANアクセスポイント「WLXシリーズ」や、L2/L3スイッチ「SWXシリーズ」はこの脆弱性の影響を受けないとしている。

 影響を受けるファームウェアのバージョンは、RT57iがRev.8.00.95以前、RT58iがRev.9.01.51以前、NVR500がRev.11.00.36以前、RTX810がRev.11.01.31以前、FWX120がRev.11.03.25以前。

RT57i
RT58i
NVR500
RTX810
FWX120

 対策として、各製品のサポートページからダウンロードできる脆弱性修正済みファームウェアの適用が推奨されている。同ファームウェアのバージョンは、RT57iがRev.8.00.98、RT58iがRev.9.01.53、NVR500がRev.11.00.38、RTX810がRev.11.01.33、FWX120がRev.11.03.27。

 もし、脆弱性修正済みファームウェアの使用が困難な場合、以下のどちらかの設定で、ルーターおよびファイアウォールの「かんたん設定ページ」へのアクセスを無効にすることにより、脆弱性の影響を回避できるとしている。

  • httpd service offを設定し、HTTPサーバー機能を無効にする
  • httpd host noneを設定し、全てのホストからのGUI設定画面へのアクセスを禁止する