So-net無料ブログ作成

無線LANルーター、ネットワークカメラ、Wi-Fiストレージに脆弱性 [機器のセキュリティ]

コレガの無線LANルーターの一部や、アイ・オー・データ機器のネットワークカメラの一部、同じくアイ・オー・データ機器のWi-Fiストレージの一部に脆弱性が見つかった。該当する機器を使用している場合は、メーカーが推奨する対策をとっていただきたい。


■コレガの無線LANルーター「CG-WLR300NX」

 2014年4月から販売されている現行製品である。同社およびJPCERTコーディネーションセンターが11日に公開した情報によると、ファームウェアVer.1.20およびそれ以前で、アクセス制限不備、クロスサイトリクエストフォージェリ、クロスサイトスクリプティングの脆弱性が見つかっている。これらにより、第三者に任意の操作を実行されたり、細工されたページにアクセスした場合に、意図しない操作をさせられる、また、ウェブブラウザ上で任意のスクリプトを実行されたりするおそれがある。

 脆弱性に対処したファームウェア(Ver.1.30)が公開されているので、同社の情報を参照して更新を行っていただきたい。

・CG-WLR300NXの複数の脆弱性について(コレガ)
http://corega.jp/support/security/20161111_wlr300nx.htm
・CG-WLR300NXにおけるアクセス制限不備の脆弱性(JVN)
https://jvn.jp/jp/JVN23549283/index.html
・CG-WLR300NXにおけるクロスサイトスクリプティングの脆弱性(JVN)
https://jvn.jp/jp/JVN92237169/index.html
・CG-WLR300NXにおけるクロスサイトリクエストフォージェリの脆弱性(JVN)
https://jvn.jp/jp/JVN23823838/index.html

■コレガの無線LANルーター「CG-WLBARGMH」「CG-WLBARGNL」

 「CG-WLBARGMH」は2006年5月発売、「CG-WLBARGNL」は2007年6月発売で、どちらもすでに販売を終了している。同社およびJPCERTコーディネーションセンターが11日に公開した情報によると、これらにはクロスサイトスクリプティングの脆弱性があり、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

 この2製品についてはすでにサポートが終了している。同社は、これらについては使用を停止し、本脆弱性について確認済みの製品への切り替えを検討してほしいとしている。

・クロスサイトスクリプティングの脆弱性について(コレガ)
http://corega.jp/support/security/20161111_wlbargmh_wlbargnl.htm
・コレガ製の複数の無線LANルータにおけるクロスサイトスクリプティングの脆弱性(JVN)
https://jvn.jp/jp/JVN25060672/index.html

■アイ・オー・データのネットワークカメラ「TS-WRLP」「TS-WRLA」

 「TS-WRLP」「TS-WRLA」ともに、同社「Qwatch(クウォッチ)」シリーズのネットワークカメラで、今年発売の現行製品だ。留守中の子どもの見守りや、ペットの様子の確認といった用途で一般家庭でも利用されている。同社および、JPCERTコーディネーションセンターが11日に公開した情報によると、両製品ともファームウェアVer.1.00.01およびそれ以前で情報漏えいの脆弱性があり、第三者に当該製品の認証情報などを取得されるおそれがある。

 最新のファームウェア(Ver.1.01.02)は本脆弱性の影響を受けないので、同社の情報を参照して更新を行っていただきたい。

・ネットワークカメラ「TS-WRLP」「TS-WRLA」情報漏えいの脆弱性について(アイ・オー・データ機器)
http://www.iodata.jp/support/information/2016/ts-wrlap/
・アイ・オー・データ製の複数のネットワークカメラ製品における情報漏えいの脆弱性(JVN)
https://jvn.jp/jp/JVN34103586/index.html

■アイ・オー・データのWi-Fiストレージ「WFS-SR01」

 2013年9月に発売された「ポケドラ」シリーズの製品で、脆弱性が見つかったことにより、同社では販売を停止した。挿入、接続したSDカードやUSBメモリー内のデータを、同製品とWi-Fi接続したスマートフォン、タブレット、パソコンで利用できるようにするものだが、モバイルバッテリーとしての機能や、ホテルなどの有線LANに接続してWi-Fi化するポケットルーターとしての機能も持っている。

 同社およびJPCERTコーディネーションセンターが2日に公開した情報によると、問題があるのはポケットルーターとして利用する場合で、同製品上で任意のコマンドを実行されたり、挿入されたSDカード等にアクセスされたりするおそれがある。スマホやタブレットと同製品をWi‐Fiで直接接続して利用する場合や、モバイルバッテリーとして利用する場合には、脆弱性の影響を受けない。

 同社はファームウェアのアップデートにより同脆弱性に対処する予定で、それまでの間、ポケットルーター機能を使用しないでほしいとしている。

・Wi-Fiストレージ「WFS-SR01」セキュリティの脆弱性につきまして(アイ・オー・データ機器)
http://www.iodata.jp/support/information/2016/wfs-sr01/
・WFS-SR01における複数の脆弱性(JVN)
https://jvn.jp/jp/JVN18228200/index.html

(2016/11/14 セキュリティ通信)