セキュリティ

SECURITY

公開：2024-11-02

【CVE-2024-50357】センチュリー・システムズのFutureNet NXRシリーズにREST-API機能の重大な脆弱性が発覚、早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• FutureNet NXRシリーズでREST-API機能が意図せず有効化
• http-server機能またはWEB認証機能で自動的に有効化
• 工場出荷時設定では機能が有効となり深刻な脆弱性に

FutureNet NXRシリーズにおけるREST-API機能の脆弱性問題

センチュリー・システムズは、FutureNet NXRシリーズにおいてREST-API機能が意図せず有効化される重大な脆弱性問題を2024年10月31日に公開した。この問題は【CVE-2024-50357】として識別されており、CVSS v3による深刻度基本値は9.8と非常に高い値を示している。^[1]

http-server機能もしくはWEB認証機能を有効にした状態で機器を起動すると、REST-API機能が自動的に有効となる仕様となっており、工場出荷時設定では特に設定を変更しない限りREST-API機能が有効化される状態となっている。この問題はCWE-684に分類され、指定された機能の不適切な提供として認識されている。

攻撃者は工場出荷時設定のユーザ名とパスワードを使用してREST-API機能にアクセスできる可能性があり、設定情報の窃取や設定変更などの深刻な被害が想定される。特に明示的な設定変更を行っていない環境では、攻撃のリスクが非常に高い状態となっている。

FutureNet NXRシリーズの脆弱性影響範囲

REST-APIについて

REST-APIとは、Webシステムやアプリケーションにおけるソフトウェアアーキテクチャのスタイルであり、主に以下のような特徴が挙げられる。

• HTTPプロトコルを利用した通信方式
• リソースの状態を管理・操作するインターフェース
• クライアントとサーバー間のデータのやり取りを実現

FutureNet NXRシリーズの脆弱性では、このREST-API機能が意図せず有効化されることで、第三者による不正アクセスのリスクが発生している。特に工場出荷時設定のまま使用している環境では、攻撃者による設定情報の窃取や不正な設定変更などの深刻な被害を受ける可能性が極めて高い状態となっている。

FutureNet NXRシリーズの脆弱性に関する考察

FutureNet NXRシリーズの脆弱性問題では、デフォルト設定の安全性確保という基本的なセキュリティ対策が不十分であった点が大きな課題となっている。特にREST-API機能の自動有効化という仕様は、ネットワーク機器のセキュリティ設計において重大な欠陥であり、今後の製品開発では初期状態でのセキュリティ強化が不可欠となるだろう。

この問題への対応として、ファームウェアのアップデートによる脆弱性の修正が提供されているが、すべてのユーザーが適切にアップデートを実施できるとは限らない。そのため、製品導入時のセキュリティ設定チェックリストの提供や、自動アップデート機能の実装など、より包括的なセキュリティ対策の検討が必要となる。

今後のネットワーク機器開発においては、セキュリティ・バイ・デザインの考え方を徹底し、デフォルト設定での安全性確保を最優先事項として位置づける必要がある。特にIoT機器の増加に伴い、ネットワークインフラのセキュリティ強化は一層重要性を増していくものと考えられる。

参考サイト

1. ^ JVN. 「JVNDB-2024-011744 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011744.html, (参照 24-11-02).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧