【CVE-2024-10697】Tenda AC6 15.03.05.19にコマンドインジェクションの脆弱性が発見、リモート攻撃のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Tenda AC6 15.03.05.19にコマンドインジェクションの脆弱性
API EndpointのWriteFacMac機能に深刻な問題
リモートから攻撃可能な重大な脆弱性として分類

Tenda AC6 15.03.05.19のコマンドインジェクション脆弱性

Tenda AC6 15.03.05.19のAPI EndpointにおけるWriteFacMac機能で深刻な脆弱性が2024年11月2日に公開された。VulDBによって分類されたこの脆弱性は【CVE-2024-10697】として識別され、/goform/WriteFacMacコンポーネントのformWriteFacMac機能においてコマンドインジェクションを可能にする重大な問題として報告されている。^[1]

CWE-77として分類されたこの脆弱性は、CVSSスコアが5.3から6.5の範囲で評価される中程度の深刻度を持つものとされている。この脆弱性はネットワークを介してリモートから攻撃可能であり、攻撃の実行には低い特権レベルしか必要としないため、多くのユーザーに影響を与える可能性がある。

この脆弱性に関する技術的な詳細はGitHubリポジトリで公開されており、既に攻撃手法が公になっている状態である。Tendaの製品セキュリティにおいて重要な懸念事項となっており、ユーザーの情報セキュリティに深刻な影響を及ぼす可能性が指摘されている。

Tenda AC6脆弱性の詳細情報

項目	詳細
CVE番号	CVE-2024-10697
影響を受けるバージョン	15.03.05.19
脆弱性の種類	コマンドインジェクション（CWE-77）
CVSSスコア	CVSS 4.0: 5.3、CVSS 3.1: 6.3、CVSS 3.0: 6.3
攻撃条件	リモートからの攻撃が可能、低い特権レベルで実行可能

Tendaの公式サイトはこちら

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行可能なシステムに注入する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

システムコマンドの不正実行が可能
権限昇格やデータ漏洩のリスクが存在
入力値の適切なサニタイズで防止可能

Tenda AC6の脆弱性では、WriteFacMac機能を介してコマンドインジェクション攻撃が可能となっている。この脆弱性は特に深刻で、攻撃者がリモートからシステムコマンドを実行できる可能性があり、デバイスの完全な制御権を奪取される危険性も指摘されている。

Tenda AC6のコマンドインジェクション脆弱性に関する考察

Tenda AC6の脆弱性は、IoTデバイスのセキュリティ設計における重要な教訓となるものだ。特にAPI実装における入力値の検証が不十分であった点は、同様のIoTデバイス開発において重要な参考事例となるだろう。このような基本的なセキュリティ対策の欠如は、今後のIoTセキュリティ設計において重点的に取り組むべき課題となる。

今後はファームウェアアップデートによる脆弱性の修正が期待されるが、すべてのユーザーが適切にアップデートを実施できるかという課題も存在する。IoTデバイスの自動アップデート機能の実装や、セキュリティアップデートの重要性に関するユーザー教育も併せて必要となってくるだろう。

将来的には、IoTデバイスのセキュリティ認証制度の整備や、開発段階でのセキュリティテストの義務化なども検討する必要がある。特にネットワーク接続機能を持つデバイスにおいては、出荷前のセキュリティ評価をより厳密に行うことで、このような脆弱性の発生を未然に防ぐことが可能となるはずだ。