JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月17日、「JVN#41646618: Huawei 製 EchoLife HG8045Q における OS コマンドインジェクションの脆弱性」において、Huawei製の光ネットワーク端末「EchoLife HG8045Q」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けた端末上で一部のOSコマンドが実行されるおそれがあるという。

JPCERT/CCによると、EchoLife HG8045Qにはネットワーク事業者によるメンテナンス作業用のコマンドライン・インタフェースが実装されているという。ネットワーク事業者は、このインタフェースを使用してメンテナンス作業用の各種コマンドを実行できる。このコマンドライ・インタフェースの入力内容の処理に不備があり、悪意をもって細工された入力によって、BusyBoxツールが提供するコマンドの一部を実行することができてしまうとのこと。BusyBoxは組込みLinux用の汎用コマンドツールである。

この脆弱性は、メンテナンス用のコマンドラインインタフェースが有効になっている場合にのみ影響を受ける。EchoLife HG8045Qの初期設定では無効になっている。

対策方法としては、開発元より提供されている以下のバージョンにアップデートすることが挙げられている。

  • Software version : V300R016C00SPC130 (V300R016C00SPC110 向け)
  • Software version : R18C10SPC152 (V300R018C10 向け)

脆弱性の深刻度を表すCVSS v3の基本スコアは「6.8」で、5段階中で上から3番目の「警告」に分類されている。

  • JVN#41646618: Huawei 製 EchoLife HG8045Q における OS コマンドインジェクションの脆弱性

    JVN#41646618: Huawei 製 EchoLife HG8045Q における OS コマンドインジェクションの脆弱性