ニュース

エレコム製「WRC-X5400GS-B」ほかのWi-Fiルーター・中継機11製品に脆弱性、最新版ファームウェアへの更新を

WRC-X5400GS-B

 エレコム製のWi-Fiルーターや中継機に複数の脆弱性が存在するとして、脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が5月28日に情報を公開した。エレコムでも本件に関する情報を公開しており、情報公開済みの全ての脆弱性は、ファームウェアを最新バージョンに更新することで対策できるとして、更新を呼び掛けている。

 JVNでは関連する情報を4本の記事で公開しており、その中には2024年3月以前に公開済みの情報も含まれるが、本稿では全てを紹介する。

まとめ

 公開されている情報の量は多いが、まとめると、影響を受ける製品は以下の11製品(カッコ内は影響を受けるファームウェアのバージョン)である。いずれも、ファームウェアを最新バージョンに更新することで対策できる。

  • WRC-X5400GS-B(v1.0.10以前)
  • WRC-X5400GSA-B (v1.0.10以前)
  • WRC-1167GS2-B(v1.67以前)
  • WRC-1167GS2H-B(v1.67以前)
  • WRC-2533GS2-B(v1.62以前)
  • WRC-2533GS2-W(v1.62以前)
  • WRC-2533GS2V-B(v1.62以前)
  • WRC-X3200GST3-B(v1.25以前)
  • WRC-G01-W(v1.24以前)
  • WMC-X1800GST-B(v1.41以前)
  • WMC-X1800GS-B(v1.41以前)

「WRC-X5400GS-B」「WRC-X5400GSA-B」の脆弱性

 5月28日に新たに公開された情報。発見された脆弱性はOSコマンドインジェクションで、当該製品にログイン可能なユーザから細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは6.8。

 影響を受ける製品は、以下の2製品(カッコ内は影響を受けるファームウェアのバージョン)。

  • WRC-X5400GS-B(v1.0.10以前)
  • WRC-X5400GSA-B (v1.0.10以前)

▼JVNの記事
JVNVU#97214223 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性

▼エレコムの情報
無線LANルーターのセキュリティ向上のためのファームウェアアップデート実施のお知らせ

「WRC-X3200GST3-B」ほか3製品における複数の脆弱性

 3月26日に公開された情報で、5月28日に対象製品として「WMC-X1800GST-B」が追加されている。発見された脆弱性は次の3種類。

1.OSコマンドインジェクション

第三者から細工されたリクエストを送信され、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは8.8。

2.OSコマンドインジェクション

当該製品の認証情報を持つユーザから細工されたリクエストを送信され、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは6.8。

3.情報漏えい

第三者から細工されたリクエストを送信され、機微な情報を含んだ設定ファイルを窃取される可能性がある。CVSS v3のスコアは6.5。

 影響を受ける製品は、以下の3製品(カッコ内は影響を受けるファームウェアのバージョンと関係する脆弱性)。

  • WRC-X3200GST3-B(v1.25以前/1、2、3)
  • WRC-G01-W(v1.42以前/2、3)
  • WMC-X1800GST-B(v1.41以前/2、3)

 なお、WMC-X1800GST-Bは、同社が販売する e-Meshスターターキット「WMC-2LX-B」にも含まれる。

▼JVNの記事
JVNVU#95381465 エレコム製無線LANルーターにおける複数の脆弱性

▼エレコムの情報
無線LANルーターのセキュリティ向上のためのファームウェアアップデート実施のお知らせ

「WRC-1167GS2-B」など8製品の脆弱性

 2月20日に公開され、以降も情報を更新。5月28日に対象製品として「WMC-X1800GST-B」が追加されている。発見された脆弱性はOSコマンドインジェクションで、当該製品にログインしたユーザから細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは6.8。

 影響を受ける製品は、以下の8製品(カッコ内は影響を受けるファームウェアのバージョン)。

  • WRC-1167GS2-B(v1.67以前)
  • WRC-1167GS2H-B(v1.67以前)
  • WRC-2533GS2-B(v1.62以前)
  • WRC-2533GS2-W(v1.62以前)
  • WRC-2533GS2V-B(v1.62以前)
  • WRC-X3200GST3-B(v1.25以前)
  • WRC-G01-W(v1.24以前)
  • WMC-X1800GST-B(v1.41以前)

 なお、WMC-X1800GST-Bは、同社が販売する e-Meshスターターキット「WMC-2LX-B」にも含まれる。

▼JVNの記事
JVNVU#99444194 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性

▼エレコムの情報
無線LANルーター・中継器のセキュリティ向上のためのファームウェアアップデート実施のお知らせ

「WRC-1167GS2-B」など9製品の脆弱性

 2月20日に公開され、以降も情報を更新。5月28日に対象製品として「WMC-X1800GST-B」と「WSC-X1800GS-B」が追加されている。発見された脆弱性は次の2種類。

1.クロスサイトスクリプティング

悪意を持った管理者により細工された内容があらかじめ設定された製品に、別の管理者がログインして操作した場合、ウェブブラウザ上で任意のスクリプトを実行される可能性がある。CVSS v3のスコアは4.8。

2.クロスサイトリクエストフォージェリ

当該製品にログインした状態の管理者が、細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる可能性がある。CVSS v3のスコアは4.3。

 影響を受ける製品は、以下の9製品(カッコ内は影響を受けるファームウェアのバージョンと関係する脆弱性)。

  • WRC-1167GS2-B(v1.67以前/1、2)
  • WRC-1167GS2H-B(v1.67以前/1、2)
  • WRC-2533GS2-B(v1.62以前/1、2)
  • WRC-2533GS2-W(v1.62以前/1、2)
  • WRC-2533GS2V-B(v1.62以前/1、2)
  • WRC-X3200GST3-B(v1.25以前/1、2)
  • WRC-G01-W(v1.24以前/1、2)
  • WMC-X1800GST-B(v1.41以前/1、2)
  • WSC-X1800GS-B(v1.41以前/2)

 なお、WMC-X1800GST-BおよびWSC-X1800GS-Bは、同社が販売する e-Meshスターターキット「WMC-2LX-B」にも含まれる。

▼JVNの記事
JVN#44166658 エレコム製無線 LAN ルーターおよび無線 LAN 中継器における複数の脆弱性

▼エレコムの情報
無線LANルーター・中継器のセキュリティ向上のためのファームウェアアップデート実施のお知らせ