エレコムの「WRC-X3000GS2」などのWi-Fiルーターや中継機に脆弱性、ファームウェアのアップデートまたはWi-Fiパスワードの変更を

WRC-X3000GS2-W

　エレコム株式会社は11月14日、同社および子会社のロジテック製のWi-Fiルーターや中継機の脆弱性が判明したとして、情報を公開した。JVN（Japan Vulnerability Notes）も同日に脆弱性の情報を公開している。

　今回、JVNが発表した脆弱性は2種（CVEコードは3つ）で、対象は以下の製品。

OS コマンドインジェクション（CVE-2023-40072、CVE-2023-43752）

　当該製品にログイン後のユーザにより細工されたリクエストを送信され、任意のOSコマンドを実行されるおそれがある。CVE-2023-40072、CVE-2023-43752とも、CVSS v3のスコアは6.8。対象は以下の5製品の各ファームウェアのバージョン。

　WAB-M1775-PS、WAB-S1775は、エレコムのウェブサイトでダウンロードできる対策済みファームウェアにアップデートすることで対策できる。WRC-X3000GS2-W、WRC-X3000GS2-B、WRC-X3000GS2A-Bは、工場出荷時の設定では自動的にアップデートされるとしている。

不十分な暗号強度（CVE-2023-43757）

　当該製品にアクセス可能な第三者によって無線通信の暗号鍵の値を推測され、通信内容を傍受されるおそれがある。CVSS v3のスコアは6.5。対象は以下の14製品の、全てのバージョンのファームウェア。

　工場出荷時のWi-Fi初期パスワードが推測され、悪意のあるものに利用されるおそれがあることが問題で、Wi-Fiパスワードが初期状態の場合は、推測の難しい堅牢なパスワードに変更するようにとエレコムでは案内している。

• WRC-2533GHBK2-T
• WRC-2533GHBK-I
• WRC-1167GHBK
• WRC-733GHBK
• WRC-733GHBK-I
• WRC-733GHBK-C
• WRC-300GHBK2-I
• WRC-300GHBK
• WRH-300WH-H
• WRH-300BK2-S
• WRH-300WH2-S
• WRH-150BK
• WRH-150WH
• LAN-WH300NDGPE

　本脆弱性についてJVNで公開している情報（JVNVU#94119876）に挙げられている影響を受ける製品のうち、以下の20製品は、すでに情報が公開されている別の脆弱性があり、製品のアップデートサービスが終了していることから、代替製品への切り替えが推奨されている（エレコムが2023年8月10日、2023年7月6日に公開している情報を参照のこと）。

• WRC-1750GHBK2-I
• WRC-1750GHBK-E
• WRC-1750GHBK
• WRC-1167GHBK2
• WRC-F1167ACF
• WRC-733FEBK
• WRC-300FEBK
• WRC-F300NF
• WRH-300BK
• WRH-300WH
• WRH-300RD
• WRH-300SV
• WRH-300BK-S
• WRH-300WH-S
• WRH-H300BK
• WRH-H300WH
• LAN-W300N/RS
• LAN-W301NR
• LAN-W300N/P
• LAN-WH300N/DGP