「WHR-1166DHP2」などバッファロー製Wi-Fiルーター・中継機18製品に脆弱性、最新版ファームウェアへの更新を

WHR-1166DHP2

　バッファローのWi-Fiルーターおよび中継機18製品にOSコマンドインジェクションの脆弱性があるとして、脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。バッファローでも情報を公開しており、いずれも最新版のファームウェアに更新することで対策できる。

　本件の対象製品は、5月にNICTER解析チームがバッファロー製Wi-Fiルーターのボット感染が増加しているとして警告したことに端を発し、バッファローが情報を公開していたもの。JVNが公開した情報は、あらためて対象の製品およびファームウェアバージョンをまとめ、CVEなどとあわせて情報を公開したもので、5月当時に公開されたものから、新しい対象製品の情報は追加されていない。バッファローのウェブサイトでは、7月19日に対象のファームウェアのバージョンと自動更新の実施日の情報が追加されている。

　対象製品に存在する脆弱性は、OSコマンドインジェクションの脆弱性（CVE-2024-44072）で、CVSS v3のスコアは7.2。当該製品の管理画面にログインしたユーザによって、特定の画面から細工されたリクエストを送信され、任意のOSコマンドを実行される可能性がある。

　対象となる製品およびファームウェアのバージョンは以下。いずれも、8月26日時点の最新版ファームウェアで対策済みとなっている。

• WHR-1166DHP2 Ver. 2.95以前
• WHR-1166DHP3 Ver. 2.95以前
• WHR-1166DHP4 Ver. 2.95以前
• WSR-1166DHP3 Ver. 1.18以前
• WSR-600DHP Ver. 2.93以前
• WEX-300HPTX/N Ver. 1.02以前
• WEX-733DHP2 Ver. 1.03以前
• WEX-1166DHP2 Ver. 1.05以前
• WEX-1166DHPS Ver. 1.05以前
• WEX-300HPS/N Ver. 1.02以前
• WEX-733DHPS Ver. 1.02以前
• WEX-733DHPTX Ver. 1.03以前
• WEX-1166DHP Ver. 1.23以前
• WEX-733DHP Ver. 1.64以前
• WHR-1166DHP Ver. 2.92以前
• WHR-300HP2 Ver. 2.51以前
• WHR-600D Ver. 2.91以前
• WMR-300 Ver. 2.50以前

【記事追記 8月27日】

　本件に関連し、NICTER解析チームは、「攻撃被害により、ファームウェアの自動更新が効かない場合があります」として、手動でのアップデートとバージョンの確認を推奨する呼び掛けを行った。