アイ・オーのLTEルーター「UD-LT1」「UD-LT1/EX」に複数の脆弱性、ファームウェア更新と設定の確認を

UD-LT1/EX

　株式会社アイ・オー・データ機器のハイブリッドLTEルーター「UD-LT1」および「UD-LT1/EX」に複数の脆弱性が存在するとして、脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。アイ・オー・データ機器でも情報を公開しており、対策として、ファームウェアの更新と設定の確認を呼び掛けている。

　情報が公開された脆弱性は、次の3種。JVNでは、開発者によりこれらの脆弱性を悪用した攻撃が確認されていると報告している。

不適切なアクセス権限付加（CVE-2024-45841）

当該機器のguestアカウントを知る第三者に特定のファイルにアクセスされた場合、認証情報を含む情報を窃取される可能性がある。CVSS v3のスコアは6.5。

OSコマンドインジェクション（CVE-2024-47133）

当該機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは7.2。

ドキュメント化されていない機能（CVE-2024-52564）

遠隔の第三者によって当該機器のファイアウォールを無効化され、その結果当該機器上で任意のOSコマンドを実行されたり、機器の設定を変更されたりする可能性がある。CVSS v3のスコアは7.5。

　アイ・オー・データ機器では、上記のうち「ドキュメント化されていない機能」を対策したファームウェア「Ver.2.1.9」を11月13日に公開している。ほかの2つを対策したファームウェアは、12月18日に公開する予定。

　ファームウェアの更新に加えて、アイ・オー・データ機器では、次の設定の確認を行うようにと呼び掛けている。

• インターネットからの設定画面へのアクセスが不要な場合、WANポート、モデム、VPNすべてを無効化する
• インターネットからの設定画面へのアクセスが必要な場合、VPN機能を設定する
• guestユーザーのパスワードを推測されにくい複雑なものに変更する
• 管理者ユーザーのパスワードを推測されにくい複雑なものに変更する
• 設定した覚えのない設定がされていないか確認する。もしも覚えのない設定がされていた場合は、一度初期化した上で再設定する