ニュース

複数のNEC製のWi-Fiルーターに脆弱性、生産終了した「Aterm WF800HP」など

「Aterm WG2600HP」「Aterm WG2600HP2」も対象

「Aterm WF800HP」のウェブページより

 NECプラットフォームズ株式会社が提供するAtermシリーズの複数の無線LANルーターに脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

 脆弱性の影響を受けるのは、生産を終了した以下3製品になる。

・「Aterm WF800HP」ファームウェア バージョン1.0.19以前
・「Aterm WG2600HP」ファームウェア バージョン1.0.2以前
・「Aterm WG2600HP2」ファームウェア バージョン1.0.2以前

 Aterm WF800HPには、クロスサイトスクリプティング(CVE-2021-20620)の脆弱性が存在しており、同製品にアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実行される恐れがある。CVSS v3のスコアは6.1。

 また、Aterm WG2600HPおよびAterm WG2600HP2には、アクセス制限の不備(CVE-2017-12575)、クロスサイトリクエストフォージェリ(CVE-2021-20621)、クロスサイトスクリプティング(CVE-2021-20622)の脆弱性が存在する。同製品にアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実行されたり、同製品にログインした状態のユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる恐れがある。また、同製品に保存された設定情報を窃取・変更される可能性もある。CVSS v3のスコアは、CVE-2017-12575が7.5、CVE-2021-20621が4.3、CVE-2021-20622が6.1。

 脆弱性の問題を修正したファームウェアが提供されていないAterm WF800HPについては、脆弱性の影響を軽減するために、ウェブサイトにアクセスする際は、信頼できる情報源からURLを取得してアクセスしたあと、お気に入り登録を行い、2回目以降のアクセスは登録済みのお気に入りから行うよう呼び掛けている。

 Aterm WG2600HPおよびAterm WG2600HP2に関しては、最新のファームウェアを適用するよう呼び掛けている。ファームウェアの最新バージョンはAterm WG2600HPが「1.0.15」、Aterm WG2600HP2が「1.0.8」。