エレコムのルーターなどで脆弱性。サポート終了のため使用中止を勧告
エレコム株式会社とロジテック株式会社のネットワーク関連製品に、それぞれ複数の脆弱性が報告されている。
エレコムの対象製品は、無線ルーター「WRC-1467GHBK-A」、「WRC-300FEBK」、「WRC-300FEBK-A」、「WRC-300FEBK-S」、「WRC-F300NF」、ネットワークカメラ「NCC-EWF100RMWH2」、プリントサーバー「LD-PS/U1」、Androidアプリ「ELECOM File Manager」。
ロジテックの対象製品は、無線ルーター「LAN-WH450N/GR」、「LAN-W300N/PR5B」、「LAN-W300N/PGRB」、「LAN-W300N/RS」。
エレコム製品で報告された脆弱性は下記のとおり。
上記の脆弱性を悪用することで、当該製品が影響を受ける可能性のある具体的な内容としては、「管理パスワードの変更」、「任意のスクリプトの実行」、「任意のOSコマンドの実行」、「ファイルの新規作成および上書き」などが挙げられる。
ロジテック製品で報告された脆弱性は下記のとおり。
上記により影響を受ける可能性のある内容は、「PINが解読されネットワークにアクセスされる」、「機器の設定が変更される」、「DoS攻撃を受ける」、「任意のOSコマンドを実行される」など。
本件に関して、エレコムは26日付けのプレスリリースで、ロジテック製品を含む各製品での対処法を案内している。Webブラウザ経由で攻撃を受ける可能性のある脆弱性については、「設定操作時にほかのサイトにアクセスしない」、「設定操作完了時にブラウザを終了する」、「ブラウザに保存されたパスワードを削除する」などの軽減・回避策を挙げているほか、UPnPの無効化なども推奨した。エレコム製アプリについては、後継アプリ「ELECOM EXtorage Link」を使用するよう案内している。
ただし、今回脆弱性が報告された製品はすべてアップデートサービスの対象外となっており、根本的な解決が見込めないため、該当製品のユーザーは事実上の買い替えを迫られることになる。
