JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月8日、「JVNVU#94119363: InHand Networks製ルーターIR615に複数の脆弱性」において、InHand Networksのルータ製品「IR615」に複数の脆弱性が報告されていると伝えた。これら脆弱性を悪用されると、攻撃者によって意図しない設定の書き換えや任意のコード実行、セッションの乗っ取り、ユーザアカウトの窃取などといった攻撃を受ける危険性があるという。

今回報告されている脆弱性およびそれによって受ける可能性のある影響は以下の通り。

  • CVE-2021-38472: レンダリングされたUIレイヤまたはフレームの制限が不十分なことにより、リモートの第三者から管理者が意図せずに対象製品の設定を変更される
  • CVE-2021-38486: 不適切な認可が原因でリモートの第三者から対象製品が乗っ取られ、内部ネットワーク内で任意のコードが実行される
  • CVE-2021-38480: CSRF(クロスサイトリクエストフォージェリ)攻撃によって管理ポータルが操作され、設定の変更や認証情報の変更、システムコマンドの実行などが行われる
  • CVE-2021-38464: 暗号強度が不適切なことで、リモートの第三者に通信が傍受され、機密情報の窃取やセッションの乗っ取りが行われる
  • CVE-2021-38474: 認証試行の制限が不適切なことが原因で、遠隔からのブルートフォース攻撃によってログインパスワードを窃取される
  • CVE-2021-38484: ファイルアップロードの制限が不適切であり、管理者権限を持つ攻撃者によってリモートから不正なファイルをアップロードされ、CSS(クロスサイトスクリプティング)攻撃やシステムファイルの削除、任意のコード実行などが行われる
  • CVE-2021-38466: 反射型XSSの脆弱性によって、リモートの第三者から対象製品にアクセスするWebブラウザ上で任意のスクリプトを実行される
  • CVE-2021-38478: OSコマンドインジェクションの脆弱性によって、管理者権限を持つリモートの攻撃者に対象製品上で任意のコードを実行される
  • CVE-2021-38482、CVE-2021-38468: 格納型XSSの脆弱性によって、管理者権限を持つリモートの攻撃者に、システムに接続するユーザのセッションを乗っ取られる
  • CVE-2021-38476: リクエストに対するレスポンス内容の違いに起因する不具合によって、リモートの第三者にユーザアカウントを窃取される
  • CVE-2021-38462: パスワード要件が脆弱であり、モートの第三者にユーザの認証情報を窃取される危険性がある

産業用ルータ製品「IR615」のバージョン 2.3.0.r4724および2.3.0.r4870が、これらの脆弱性の影響を受けるとされている。上記のうち、CVE-2021-38480とCVE-2021-38484、CVE-2021-38470/CVE-2021-38478、CVE-2021-38462は、脆弱性の深刻度が「Critical(緊急)」に分類されており、早急な対処が必要となる。ただし、2021年10月8日時点でInHand Networks社からこれらの脆弱性の対処方法は公開されていないという。

JPCERT/CCでは、これらの製品の利用者に対して、InHand Networks社のカスタマーサポートに対処方法を問い合わせるよう呼びかけている。

  • JVNVU#94119363: InHand Networks製ルーターIR615に複数の脆弱性

    JVNVU#94119363: InHand Networks製ルーターIR615に複数の脆弱性