JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月11日(日本時間)、「JVNVU#92898656: D-Link 製 DAP-1880AC における複数の脆弱性」において、D-Linkが提供する壁埋め込み型の無線アクセスポイント製品「DAP-1880AC」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって管理者権限が奪われたり、任意のOSコマンドを実行されたりする危険性があるという。

該当する脆弱性に関する情報はD-Linkが提供する次のページにまとめられている。

  • JVNVU#92898656 「DAP-1880AC脆弱性」に関するご報告|サポート情報|サポート|D-Link Japan

    JVNVU#92898656 「DAP-1880AC脆弱性」に関するご報告| サポート情報 | サポート | D-Link Japan

今回報告されている脆弱性と、それぞれの想定される影響は以下のとおり。

  • CVE-2021-20694 - telnetサービスへのアクセス制限の不備によって、遠隔の攻撃者によって製品のtelnetが不正に有効化される
  • CVE-2021-20695 - 不適切な権限管理の影響で、攻撃者がtelnetサービスに不正にアクセスできた場合に、root権限のシェルを利用できてしまう
  • CVE-2021-20696 - CGIのコマンドインジェクションの脆弱性によって、特定のCGIプログラム経由で製品のOSコマンドが実行できる
  • CVE-2021-20697 - 特定の条件下で一部の機能に対する認証が実行されないため、ユーザ権限で機器の管理画面にアクセスされて一部の設定を変更される

影響を受けるのはバージョン1.21以前のファームウェアが搭載されたDAP-1880ACで、ファームウェアを4月9日にリリースされたバージョン1.23にアップデートすることで対策できる。脆弱性の深刻度は、CVE-2021-20695とCVE-2021-20697が5段階中2番目に高い「重要」、残りの3つが3番目に高い「警告」に分類されている。

JPCERTコーディネーションセンター(JPCERT/CC)では、開発元による上記のセキュリティ情報を確認した上で、ファームウェアを最新版にアップデートすることを推奨している。