複数のひかり電話ルータに複数の脆弱性。

JVN等はNTT東日本、NTT西日本が提供するひかり電話ルータに複数の脆弱性が存在すると公開しました。

 

脆弱性内容

①OS コマンドインジェクション

CVSS v3=6.8

CVSS v2=5.2

 

②クロスサイトリクエストフォージェリ(CSRF)

CVSS v3=7.1

CVSS v2=4.0

 

発見されたシステム・バージョン

【東日本電信電話株式会社】

  • ひかり電話ルータ PR-400MI ファームウェア Ver. 07.00.1006 およびそれ以前
  • ひかり電話ルータ RV-440MI ファームウェア Ver. 07.00.1006 およびそれ以前
  • ひかり電話ルータ RT-400MI ファームウェア Ver. 07.00.1006 およびそれ以前

【西日本電信電話株式会社】

  • ひかり電話対応機器 PR-400MI ファームウェア Ver. 07.00.1005 およびそれ以前
  • ひかり電話対応機器 RV-440MI ファームウェア Ver. 07.00.1005 およびそれ以前
  • ひかり電話対応機器 RT-400MI ファームウェア Ver. 07.00.1005 およびそれ以前

※脆弱性内容①、②どちらも同じバージョンが対象です

 

想定される影響

当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意の OS コマンドを実行される可能性があります。

 

当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

 

対応方法

開発者の情報を元に最新版へアップデートしてください。

リンク先は以下の通りです。

【東日本電信電話株式会社】

■PR-400MI
http://web116.jp/ced/support/version/broadband/pr_400mi/index.html

■RT-400MI
http://web116.jp/ced/support/version/broadband/rt_400mi/index.html

■RV-440MI
http://web116.jp/ced/support/version/broadband/rv_440mi/index.html

 

【西日本電信電話株式会社】

■PR-400MI
http://www.ntt-west.co.jp/kiki/download/flets/pr400mi/index.html
■RT-400MI
http://www.ntt-west.co.jp/kiki/download/flets/rt400mi/index.html
■RV-440MI
http://www.ntt-west.co.jp/kiki/download/flets/rv440mi/index.html


 

NTT東日本の機器では前面下部分、NTT西日本の機器では前面に機種名が記載されておりますので、ご利用中の方はご確認下さい。

また、東日本の公式Q&Aによるとバージョン情報の確認は、

HGWにログインしていただき、「ファームウェアバージョン」に表示されているバージョンを確認してください。

とのことです。

 

 

ご利用の方は、製品型番ご確認のうえ、しかるべき対応をすることをお勧めします。

 

話は少しそれますが、NTT東日本の公式ページでは以下のQ&Aが2回でてきます。

nttq&a01

(参照:東日本電信電話株式会社)

きっとミスでしょうが、私には

 

「大事なことなので2度言いました」

 

なのかな?と思っています。

 

 

【ベンダリンク】

東日本電信電話株式会社:

お客様各位「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ

西日本電信電話株式会社:

 「PR-400MI、RT-400MI、RV-440MI」をご利用のお客様へ

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています