複数のひかり電話ルータに複数の脆弱性。

JVN等はNTT東日本、NTT西日本が提供するひかり電話ルータに複数の脆弱性が存在すると公開しました。

 

脆弱性内容

①OS コマンドインジェクション

CVSS v3=6.8

CVSS v2=5.2

 

②クロスサイトリクエストフォージェリ(CSRF)

CVSS v3=7.1

CVSS v2=4.0

 

発見されたシステム・バージョン

【東日本電信電話株式会社】

  • ひかり電話ルータ PR-400MI ファームウェア Ver. 07.00.1006 およびそれ以前
  • ひかり電話ルータ RV-440MI ファームウェア Ver. 07.00.1006 およびそれ以前
  • ひかり電話ルータ RT-400MI ファームウェア Ver. 07.00.1006 およびそれ以前

【西日本電信電話株式会社】

  • ひかり電話対応機器 PR-400MI ファームウェア Ver. 07.00.1005 およびそれ以前
  • ひかり電話対応機器 RV-440MI ファームウェア Ver. 07.00.1005 およびそれ以前
  • ひかり電話対応機器 RT-400MI ファームウェア Ver. 07.00.1005 およびそれ以前

※脆弱性内容①、②どちらも同じバージョンが対象です

 

想定される影響

当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意の OS コマンドを実行される可能性があります。

 

当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

 

対応方法

開発者の情報を元に最新版へアップデートしてください。

リンク先は以下の通りです。

【東日本電信電話株式会社】

■PR-400MI
http://web116.jp/ced/support/version/broadband/pr_400mi/index.html

■RT-400MI
http://web116.jp/ced/support/version/broadband/rt_400mi/index.html

■RV-440MI
http://web116.jp/ced/support/version/broadband/rv_440mi/index.html

 

【西日本電信電話株式会社】

■PR-400MI
http://www.ntt-west.co.jp/kiki/download/flets/pr400mi/index.html
■RT-400MI
http://www.ntt-west.co.jp/kiki/download/flets/rt400mi/index.html
■RV-440MI
http://www.ntt-west.co.jp/kiki/download/flets/rv440mi/index.html


 

NTT東日本の機器では前面下部分、NTT西日本の機器では前面に機種名が記載されておりますので、ご利用中の方はご確認下さい。

また、東日本の公式Q&Aによるとバージョン情報の確認は、

HGWにログインしていただき、「ファームウェアバージョン」に表示されているバージョンを確認してください。

とのことです。

 

 

ご利用の方は、製品型番ご確認のうえ、しかるべき対応をすることをお勧めします。

 

話は少しそれますが、NTT東日本の公式ページでは以下のQ&Aが2回でてきます。

nttq&a01

(参照:東日本電信電話株式会社)

きっとミスでしょうが、私には

 

「大事なことなので2度言いました」

 

なのかな?と思っています。

 

 

【ベンダリンク】

東日本電信電話株式会社:

お客様各位「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ

西日本電信電話株式会社:

 「PR-400MI、RT-400MI、RV-440MI」をご利用のお客様へ

LINEで送る
Pocket

こんな記事も読まれています