JVN等はNTT東日本、NTT西日本が提供するひかり電話ルータに複数の脆弱性が存在すると公開しました。

脆弱性内容

①OS コマンドインジェクション

CVSS v3＝6.8

CVSS v2＝5.2

②クロスサイトリクエストフォージェリ（CSRF）

CVSS v3＝7.1

CVSS v2＝4.0

発見されたシステム・バージョン

【東日本電信電話株式会社】

• ひかり電話ルータ PR-400MI ファームウェア Ver. 07.00.1006 およびそれ以前
• ひかり電話ルータ RV-440MI ファームウェア Ver. 07.00.1006 およびそれ以前
• ひかり電話ルータ RT-400MI ファームウェア Ver. 07.00.1006 およびそれ以前

【西日本電信電話株式会社】

• ひかり電話対応機器 PR-400MI ファームウェア Ver. 07.00.1005 およびそれ以前
• ひかり電話対応機器 RV-440MI ファームウェア Ver. 07.00.1005 およびそれ以前
• ひかり電話対応機器 RT-400MI ファームウェア Ver. 07.00.1005 およびそれ以前

※脆弱性内容①、②どちらも同じバージョンが対象です

想定される影響

当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意の OS コマンドを実行される可能性があります。

 

当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

対応方法

開発者の情報を元に最新版へアップデートしてください。

リンク先は以下の通りです。

【東日本電信電話株式会社】

■PR-400MI
http://web116.jp/ced/support/version/broadband/pr_400mi/index.html

■RT-400MI
http://web116.jp/ced/support/version/broadband/rt_400mi/index.html

■RV-440MI
http://web116.jp/ced/support/version/broadband/rv_440mi/index.html

【西日本電信電話株式会社】

■PR-400MI
http://www.ntt-west.co.jp/kiki/download/flets/pr400mi/index.html
■RT-400MI
http://www.ntt-west.co.jp/kiki/download/flets/rt400mi/index.html
■RV-440MI
http://www.ntt-west.co.jp/kiki/download/flets/rv440mi/index.html

NTT東日本の機器では前面下部分、NTT西日本の機器では前面に機種名が記載されておりますので、ご利用中の方はご確認下さい。

また、東日本の公式Q&Aによるとバージョン情報の確認は、

HGWにログインしていただき、「ファームウェアバージョン」に表示されているバージョンを確認してください。

とのことです。

ご利用の方は、製品型番ご確認のうえ、しかるべき対応をすることをお勧めします。

話は少しそれますが、NTT東日本の公式ページでは以下のQ&Aが2回でてきます。

（参照：東日本電信電話株式会社）

きっとミスでしょうが、私には

「大事なことなので２度言いました」

なのかな？と思っています。

【ベンダリンク】

東日本電信電話株式会社：

お客様各位「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ

西日本電信電話株式会社：

 「PR-400MI、RT-400MI、RV-440MI」をご利用のお客様へ