JVNは、KDDI株式会社が提供する無線LANルーター「HOME SPOT CUBE」に複数の脆弱性が存在すると公開した。

脆弱性内容

• クロスサイトリクエストフォージェリ（CSRF）
• クロスサイトスクリプティング（XSS）
• オープンリダイレクト
• HTTP ヘッダインジェクション
• クリックジャッキング
• OS コマンドインジェクション

想定される影響

JVNによると以下のような影響があるようです。

• ユーザのウェブブラウザ上で、任意のスクリプトを実行される
• 第三者が指定した外部のウェブサイトに転送される
• HTTP レスポンス分割攻撃によって、Cookie に任意の値が設定される
• 設定変更など、ユーザの意図しない操作を実行される
• アプリケーションの権限で任意の OS コマンドを実行される

発見されたシステム・バージョン

HOME SPOT CUBE

※開発者によると、後継の「HOME SPOT CUBE2」は本脆弱性の影響を受けないようです

対応方法

「ログインパスワードの変更」、「設定画面にログインしている状態で他のWEBサイトにアクセスしない」、「設定画面の操作終了後はブラウザを終了する」、「WEBブラウザに保存されたパスワードを削除する」

この4点を実施することにより本脆弱性の影響を軽減することが可能です。

但し、恒久的な対策としては、やはり後継の「HOME SPOT CUBE2」などの機器へ変更する必要があります。

詳しくは、開発者情報をご覧ください。

「HOME SPOT CUBE」はKDDIが提供している無線LANルータでレンタルサービスが行われていたが、2015年中旬にサービスが終了し、レンタルしていた機器は、そのままお客様へ無償で譲渡している状態でした。ですので、現在もご利用の方がいるかと思います。

かなりの数の脆弱性が出ております。まさにオンパレードです。

このまま使い続けるのは、危険ですので、有償にはなりますが、後継の「HOME SPOT CUBE2」へ変更するか又は、そのほかの無線LANルータへ早急に変更することをお勧めします。