バッファロー製ルーター等77製品に脆弱性。不正アクセスなどの恐れ。内26製品はサポート終了で使用停止を呼びかけ
株式会社バッファロー(BUFFALO)は、同社製ルーター等のネットワーク危機に複数の脆弱性があることを発表しました。見つかった脆弱性は以下。
- 脆弱性1. ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) - CVE-2022-39044
当該商品にログインしたユーザーによりデバッグ機能にアクセスされ、当該商品上で任意のOSコマンドが実⾏される - 脆弱性2. ハードコードされた認証情報の使⽤ (CWE-798) - CVE-2022-34840
隣接するネットワーク上の第三者により当該商品の設定を変更される - 脆弱性3. 認証回避 (CWE-288) - CVE-2022-40966
隣接するネットワーク上の第三者により認証を回避され、当該商品に不正にアクセスされる
いずれも『Internet側リモートアクセス設定を許可する』設定を有効にしている場合は、インターネット側から攻撃を実行される恐れがあるとのこと。
これらの脆弱性の影響を受ける製品は、WHRシリーズ、WXRシリーズ、WZRシリーズ、WERシリーズなど、2022年10月19日時点で計77製品。
内51製品は脆弱性を修正したファームウェアが公開されており、該当機種使用者にアップデートを呼びかけています。また、内26製品はサポートがすでに終了しており、ファームウェアは提供されないため、使用を停止するよう呼びかけています。
バッファロー製ネットワーク機器をお使いの方は、対象製品でないか、同社Webサイトで一度確認しておいた方が良いでしょう。