NTT東日本が提供する「RT-400MI」など複数のホームゲートウェイ／ひかり電話ルーターに、アクセス制限不備の脆弱性。最新ファームウェアへの更新を

RT-400MI（NTT東日本のウェブサイトより）

　東日本電信電話株式会社（NTT東日本）が提供する複数のホームゲートウェイ／ひかり電話ルーターに、アクセス制限不備の脆弱性が存在するとして、脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が9月24日に情報を公開した。対策のため、ファームウェアを最新バージョンに更新するよう呼び掛けている。

　当該の脆弱性のCVEレコードはCVE-2024-47044で、CVSS v3のスコアは5.3。当該製品のWAN側IPv6アドレスを特定した攻撃者によって、WAN側から当該製品の設定画面にアクセスされる可能性がある。

　対象は以下の5製品（カッコ内は対象となるファームウェアのバージョン）。

• ひかり電話ルータ RT-400MI（Ver.09.00.0015以前）
• ひかり電話ルータ PR-400MI（Ver.09.00.0015以前）
• ひかり電話ルータ RV-440MI（Ver.09.00.0015以前）
• ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI（Ver.08.00.0004以前）
• ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI（Ver.01.00.0008以前）

　なお、上記製品は西日本電信電話株式会社（NTT西日本）からも提供されているが、本脆弱性の影響を受けるのはNTT東日本エリアで契約している場合のみだという。

追記：9月26日20:05

　本件に関して、NTT東日本が情報を公開した。

ホームゲートウェイ/ひかり電話ルータの脆弱性に対応したファームウェア提供について

　対象製品の99％以上はすでにアップデート済みであり、手動更新に設定している場合は確認し、手動でアップデートしてほしいとしている。