JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月22日、「JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性」において、KDDIのホームゲートウェイ「HGW BL1500HM」に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、隣接するネットワーク上の認証されていない攻撃者によりSSH経由でシェルに不正アクセスされる可能性がある。

  • JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性

    JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

修正された脆弱性(CVE)の情報は次のとおり。

  • CVE-2024-21865 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりSSH経由でシェルに不正アクセスされる可能性がある
  • CVE-2024-28041 - ネットワークに隣接する認証されていない攻撃者に任意のコマンドを実行される可能性がある
  • CVE-2024-29071 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりシステムの設定を変更される可能性がある

脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • HGW BL1500HM Ver 002.001.013およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • HGW BL1500HM Ver 002.001.019

JPCERT/CCは開発者の提供する情報に基づきアップデートを適用することを推奨している。なお、KDDIは対象製品に自動ファームウェアアップデート機能が搭載されており、インターネット回線に接続し続けることで自動的にアップデートされると説明している。