エレコム製無線LANルーター9製品にOSコマンドインジェクションの脆弱性、ファームウェアの更新を

text: XEXEQ編集部

エレコム無線LANルーターの脆弱性に関する記事の要約

OSコマンドインジェクションの脆弱性が9製品で確認
e-Meshスターターキットの一部にも該当製品あり
対策はファームウェアの最新版へのアップデート
CVE番号はCVE-2024-25579で管理

エレコム製Wi-Fiルーターに深刻な脆弱性、ファームウェアアップデートを

エレコム製の無線LANルーター9製品に、OSコマンドインジェクション（CWE-78）の脆弱性が見つかった。攻撃者がログイン済みのユーザから細工されたリクエストを送信することで、ルーター上で任意のOSコマンドを実行できる可能性がある。^[1]

対象製品にはe-Meshスターターキット「WMC-2LX-B」に含まれる機器も含まれる。同社は影響を受ける全ての製品について、ファームウェアを最新版にアップデートするよう呼びかけている。

脆弱性の深刻度はCVSS v3で基本値6.8、v2で5.2と評価されている。この問題を発見し、JPCERT/CCに報告したのは株式会社ゼロゼロワンの早川宙也氏だ。

エレコムは告知ページを公開し、ユーザーに注意喚起を行っている。無線LANルーターを利用している場合は、自身の製品が対象であるか確認し、アップデートを施すことが重要だ。

クラウドサービスの普及により、ルーターに脆弱性があると大きな被害に発展するリスクが高まっている。機器の設定変更を含めた包括的なセキュリティ対策の重要性が改めて浮き彫りになった形と言えるだろう。

エレコム製無線LANルーター脆弱性に関する考察

今回の脆弱性は攻撃者が正規ユーザーに細工したリクエストを送らせることで、ルーター内で任意のコマンド実行が可能になるというもの。ファームウェアのアップデートで対処可能とはいえ、脆弱性の内容からクラウドサービスへの影響など、被害が拡大するリスクは小さくない。

ルーターを狙った攻撃は増加傾向にあり、パスワード設定の甘さを突かれるケースも目立つ。専門家の間からは定期的な脆弱性検査の必要性を指摘する声もあがっており、ベンダー任せにせず利用者側でもセキュリティ意識を高めていくことが欠かせない。同時に今回の件を受けてシステム開発時の段階からセキュリティを十分に考慮するよう、社会全体の意識改革も求められるだろう。