セキュリティ

SECURITY

公開：2024-06-15

IPCOMのWAF機能にDoSの脆弱性、細工されたパケットでシステム停止の恐れ

text: XEXEQ編集部

IPCOMのWAF機能のサービス運用妨害の脆弱性に関する記事の要約

• IPCOMのWAF機能にDoSの脆弱性が存在
• 細工されたパケットを受信するとシステム再起動や停止の可能性
• 開発者は脆弱性を修正した最新バージョンをリリース済み

IPCOMのWAF機能のDoS脆弱性が判明

エフサステクノロジーズ株式会社のIPCOMのWAF機能において、サービス運用妨害（DoS）の脆弱性が発見された。この脆弱性は、CWE-908に分類される。^[1]

影響を受けるのは、IPCOM EX2シリーズ（V01L0x系）のV01L07NF0201およびそれ以前のバージョン、並びにIPCOM VE2シリーズのV01L07NF0201およびそれ以前のバージョンである。脆弱性の存在により、システムの可用性が脅かされる可能性がある。

攻撃者が細工したパケットを送信することで、この脆弱性を突くことが可能だ。脆弱性が悪用された場合、システムが再起動させられたり、停止させられたりする恐れがある。

エフサステクノロジーズ株式会社は、本脆弱性に対処するためのアップデートを提供している。IPCOM EX2シリーズ（V01L0x系）およびIPCOM VE2シリーズについては、それぞれV01L07NF0301にアップデートすることで、この問題が修正ようだ。

JPCERT/CCによる脆弱性分析も行われており、CVSS v3のスコアは5.3と評価されている。インパクトの深刻度はそれほど高くないものの、可用性への影響は無視できない。速やかなアップデートの適用が望まれる。

IPCOMのWAF機能のDoS脆弱性に関する考察

IPCOMのWAF機能に見つかったDoSの脆弱性だが、ファームウェアのアップデートで対処可能とはいえ、攻撃者に狙われるリスクは残る。特にアップデートが適用されないまま放置されたシステムが狙われる可能性が高い。

一方で今回の問題を契機に、WAFを含むセキュリティ製品自体のセキュリティ強化が進むことにも期待したい。製品の安全性を担保するための開発プロセスの見直しや、脆弱性検出のための取り組みが一層求められるだろう。ベンダー各社の真摯な対応に注目していきたい。

参考サイト

1. ^ JVN. 「JVN#25594256: IPCOMのWAF機能におけるサービス運用妨害（DoS）の脆弱性」. https://jvn.jp/jp/JVN25594256/index.html, (参照 24-06-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧