セキュリティ

SECURITY

公開：2024-07-26

センチュリー・システムズ製ルータに複数の脆弱性、FutureNetシリーズのセキュリティリスクが明らかに

text: XEXEQ編集部

記事の要約

• センチュリー・システムズの製品に複数の脆弱性
• FutureNet NXR、VXR、WXRシリーズが影響を受ける
• 最新ファームウェアへのアップデートが推奨される

センチュリー・システムズ製ルータの脆弱性発見と対策

センチュリー・システムズ株式会社は、同社が提供するFutureNet NXR、VXR、WXRシリーズのルータに複数の脆弱性が存在することを公表した。これらの脆弱性には、安全でない初期設定（CVE-2024-31070）、利用可能なデバッグ機能（CVE-2024-36475）、OSコマンドインジェクション（CVE-2024-36491）、バッファオーバーフロー（CVE-2020-10188）が含まれている。特に、既知の脆弱性を含むnetkit-telnetの使用が問題視されている。^[1]

影響を受ける製品は、FutureNet NXRシリーズ、VXRシリーズ、WXRシリーズの広範囲に及んでおり、各製品の特定のファームウェアバージョンが対象となっている。これらの脆弱性によって、遠隔の第三者による任意のOSコマンド実行、機密情報の窃取、データの改ざん、さらにはサービス運用妨害（DoS）攻撃などのリスクが生じる可能性がある。

対策として、センチュリー・システムズは最新のファームウェアへのアップデートを強く推奨している。特に、CVE-2024-31070に関しては、2024年6月28日以降にリリースされたファームウェアバージョンでは、初期設定でTelnetが無効化され、SSHが有効化されるよう改善されている。また、一部のサポート終了製品については、製品の使用停止または後続製品への移行が推奨されている。

CVSSとは

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標のことを指している。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の容易さや影響度など多角的な要素を考慮
• ベンダーや組織間で統一された評価基準を提供

CVSSは基本評価基準、現状評価基準、環境評価基準の3つの指標グループから構成されており、各グループには複数のメトリクスが含まれている。基本評価基準は脆弱性の固有の特性を評価し、現状評価基準は時間の経過に伴う変化を反映し、環境評価基準は特定の利用環境における影響を考慮する。このシステムにより、セキュリティ専門家や組織は脆弱性の重要度を客観的に比較し、適切な対応策を決定することが可能となっている。

センチュリー・システムズ製ルータの脆弱性に関する考察

センチュリー・システムズ製ルータの脆弱性は、ネットワークインフラストラクチャの安全性に深刻な影響を与える可能性がある。特に、CVE-2024-31070のようなTelnetの無制限アクセスを許可する初期設定の問題は、攻撃者に容易な侵入経路を提供してしまう危険性がある。今後、IoTデバイスの普及に伴い、このような基本的なセキュリティ設定の重要性がますます高まることが予想されるだろう。

これらの脆弱性に対処するため、ベンダーはより迅速なセキュリティアップデートの提供と、エンドユーザーへの適切な通知システムの構築が求められる。同時に、ユーザー側も定期的なファームウェアアップデートの重要性を認識し、適切なセキュリティ対策を講じる必要がある。今後は、AIを活用した自動脆弱性検出や、ゼロトラストセキュリティモデルの採用など、より高度なセキュリティ機能の実装が期待される。

また、サポート終了製品の取り扱いについても再考が必要だろう。長期間使用される可能性のあるネットワーク機器において、サポート終了後も重大な脆弱性が発見される可能性は高い。製品のライフサイクル全体を通じたセキュリティサポートの提供や、旧製品から新製品への移行を支援するプログラムの充実など、ユーザーの安全を長期的に確保する取り組みが求められる。

参考サイト

1. ^ JVN. 「JVNDB-2024-004595 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004595.html, (参照 24-07-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧