IPA(独立行政法人情報処理推進機構)および、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は4月9日、NECプラットフォームズの無線LANルータ「Aterm」製品に複数の脆弱性があると注意を呼びかけた。脆弱性の詳細は、IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN」で公開されている。

  • Aterm WG1800HP4

複数のAterm製品で、Webブラウザ上で任意のスクリプトを実行される恐れがある「クロスサイト・スクリプティング」や、外部からのOSコマンドが実行される恐れがある「OSコマンド・インジェクション」の脆弱性が存在するという。

対象製品は下記の通り。このうち、WG1900HP2、WG1900HP、WG1800HP4、WG1200HS3、WG1200HS2、WG1200HP3、WG1200HP2、W1200EX、W1200EX-MSについては、脆弱性を修正した最新ファームウェアが提供されているため、早期に適用したい。また、WG1800HP3の最新ファームウェアは後日の提供となる。

  • Aterm WG1900HP2
  • Aterm WG1900HP
  • Aterm WG1800HP4
  • Aterm WG1800HP3
  • Aterm WG1200HS3 - CVE-2021-20680のみ影響
  • Aterm WG1200HS2
  • Aterm WG1200HP3
  • Aterm WG1200HP2
  • Aterm W1200EX
  • Aterm W1200EX-MS
  • Aterm WG1200HP
  • Aterm WF800HP
  • Aterm WF300HP2
  • Aterm WR8165N
  • Aterm W500P
  • Aterm W300P

上記のうち、WG1200HS、WG1200HP、WF800HP、WF300HP2、WR8165N、W500P、W300Pについては修正ファームウェアが提供されない。このため、管理者パスワードとWi-Fiの暗号化キーを堅牢なものに変えたり、UPnP機能を無効にしたりするなどの回避策が推奨されている。

このほか、Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS、Aterm WG2600HSにもOSコマンドインジェクションなどの脆弱性が、Aterm WG2600HSおよびWX3000HPにも、LAN側につないだ機器が外部ネットワークからアクセスされる恐れがある「アクセス制限不備」の脆弱性があると発表された。これら製品についても、脆弱性を修正した最新ファームウェアが提供されており、アップデートが推奨されている。