JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月15日、「JVN#58236836: バッファロー製無線LANルーターにおける複数の脆弱性」において、バッファローの複数の無線LANルータに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、任意のOSコマンドを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
公開された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-23486 - パスワードを平文で保存する脆弱性。製品のログインページにアクセス可能な認証されていない攻撃者は、設定された認証情報を窃取できる可能性がある
- CVE-2024-26023 - OSコマンドインジェクションの脆弱性。ログイン可能な攻撃者に任意のOSコマンドを実行される可能性がある
脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
- WCR-1166DS Ver. 1.33より前のバージョン
- WSR-1166DHP Ver. 1.15より前のバージョン
- WSR-1166DHP2 Ver. 1.15より前のバージョン
- WSR-2533DHP Ver. 1.07より前のバージョン
- WSR-2533DHPL Ver. 1.07より前のバージョン
- WSR-2533DHP2 Ver. 1.11より前のバージョン
- WSR-A2533DHP2 Ver. 1.11より前のバージョン
脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
- WCR-1166DS Ver. 1.33およびこれ以降のバージョン
- WSR-1166DHP Ver. 1.15およびこれ以降のバージョン
- WSR-1166DHP2 Ver. 1.15およびこれ以降のバージョン
- WSR-2533DHP Ver. 1.07およびこれ以降のバージョン
- WSR-2533DHPL Ver. 1.07およびこれ以降のバージョン
- WSR-2533DHP2 Ver. 1.11およびこれ以降のバージョン
- WSR-A2533DHP2 Ver. 1.11およびこれ以降のバージョン
バッファローによると、設定の「Internet側リモートアクセス設定を許可する」を有効にしている場合、インターネット側(WAN)から攻撃を実行される可能性があり注意が必要。当該製品を運用している管理者には、開発者の提供する情報を確認してアップデートを実施することが推奨されている。