情報処理推進機構(IPA)とJPCERTコーディネーションセンターは1月27日、KDDIが提供する無線LANルーター「HOME SPOT CUBE」に複数の脆弱性があるとして、注意喚起を行った。
HOME SPOT CUBEはKDDIが2012年2月より提供を開始した無線LANルーターで、現在は提供終了となっている。後継機種のHOME SPOT CUBE2は、今回の脆弱性の影響を受けないという。
存在を指摘されている脆弱性は、「クロスサイトスクリプティング」と「オープンリダイレクト」「HTTP ヘッダインジェクション」「クロスサイトリクエストフォージェリ」「クリックジャッキング」「OSコマンドインジェクション」の6件で、脆弱性を放置した場合に受ける攻撃の可能性としては以下の5件がある。
- Webブラウザ上で任意のスクリプトを実行される(クロスサイトスクリプティング)
- 外部のWebサイトに転送される(オープンリダイレクト)
- HTTPレスポンス分割攻撃によって、Cookieに任意の値が設定される(HTTP ヘッダインジェクション)
- 設定変更など、ユーザーの意図しない操作が行われる(クロスサイトリクエストフォージェリ、クリックジャッキング)
- アプリケーションの権限で任意のOSコマンドが実行される
KDDIのWebサイトで公開されている情報によると、メーカーによるサポートが終了しているため、ソフトウェアアップデートは提供されない。
対策は、「脆弱性の影響の軽減」が可能になるものが案内されており、設定画面のログインパスワード変更やログイン中のその他Webサイトへのアクセスを行わないこと、設定終了後のWebブラウザのシャットダウン、Webブラウザに保存したパスワードの削除などを行うように呼びかけている。
KDDIは"恒久的な対策"として、後継機種の「HOME SPOT CUBE2」など、代替製品への乗り換えを行うように呼びかけている。