セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクションの危険性が明らかに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WAVLINKの複数製品にコマンドインジェクションの脆弱性
• IPv6関連機能で重大な脆弱性が発見
• CVSS評価で高リスクに分類される深刻な問題

WAVLINKルーターの重大な脆弱性

WAVLINKのWN530H4、WN530HG4、WN572HG3の各製品において、2024年10月27日に重大な脆弱性【CVE-2024-10429】が公開された。この脆弱性はinternet.cgiファイル内のset_ipv6機能に存在し、IPv6OpMode、IPv6IPAddr、IPv6WANIPAddr、IPv6GWAddrの引数操作によってコマンドインジェクションが可能になることが判明している。^[1]

この脆弱性は遠隔からの攻撃が可能であり、既に攻撃手法が公開されている状態にある深刻な問題となっている。WAVLINKは事前に脆弱性情報の開示を受けていたにもかかわらず、何の対応も行わなかったことが明らかになった。

CVSSスコアの評価では、バージョン4.0で8.6点、バージョン3.1で7.2点という高いスコアが付けられており、深刻度は「HIGH」に分類されている。この脆弱性は特権ユーザーの認証を必要とするものの、ユーザーの操作を必要としないため、攻撃の成功率が高いと予測されている。

WAVLINKルーターの脆弱性詳細

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを正規のコマンドに挿入して実行させる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• システムコマンドの不正実行が可能
• 権限昇格やデータの改ざんのリスクが存在
• サーバー全体のセキュリティを脅かす可能性がある

WAVLINKの脆弱性では、IPv6関連の設定機能においてコマンドインジェクションが可能となっており、特権ユーザーの認証情報があれば遠隔から攻撃を実行できる状態にある。この種の脆弱性は、入力値の適切なサニタイズやバリデーションが行われていないことが主な原因となっている。

WAVLINKルーターの脆弱性に関する考察

WAVLINKの対応の遅れは、IoT機器のセキュリティ管理における重大な問題点を浮き彫りにしている。特に脆弱性情報の開示を受けても適切な対応を取らなかったことは、ユーザーのセキュリティリスクを不必要に高める結果となり、製品の信頼性に大きな影響を与える可能性が高い。企業のセキュリティインシデント対応能力の向上が急務となっているだろう。

今後はファームウェアの自動更新機能の実装や、セキュリティアップデートの迅速な提供体制の構築が必要不可欠となる。特にIoT機器は一度設置すると更新されにくい傾向にあるため、セキュリティ更新の自動化やユーザーへの通知機能の実装が重要な課題となるだろう。

長期的には、開発段階からのセキュリティバイデザインの導入や、脆弱性報告に対する迅速な対応体制の確立が求められる。WAVLINKには今回の事例を教訓として、セキュリティ体制の抜本的な見直しと、ユーザーの信頼回復に向けた具体的な取り組みを期待したい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10429, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧