セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-11651】EnGenius製品に重大な脆弱性、遠隔からのコマンドインジェクション攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• EnGeniusの複数製品にコマンドインジェクションの脆弱性
• ENH1350EXT、ENS500-AC、ENS620EXTが影響を受ける
• wifi_schedule_day_em_5引数の操作で遠隔から攻撃可能

EnGenius製品の重大な脆弱性発見

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見され、2024年11月25日に公開された。この脆弱性は/admin/network/wifi_scheduleファイル内の未特定の機能に存在しており、wifi_schedule_day_em_5引数の操作によってコマンドインジェクションが可能となっている。^[1]

この脆弱性は【CVE-2024-11651】として識別されており、CVSS 4.0では基本スコア5.1のMEDIUMと評価されている。攻撃者は高い特権レベルを必要とするものの、ユーザーの介在なしに遠隔から攻撃を実行できる可能性があるため、深刻な問題となっている。

脆弱性情報は既に公開されており、攻撃に利用される可能性が指摘されている。ベンダーには早期に連絡が行われたが、現時点で対応がなされていないことから、影響を受ける製品のユーザーは注意が必要となっている。

EnGenius製品の脆弱性詳細

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行できる脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• システムコマンドを不正に実行可能
• 権限昇格やデータ改ざんのリスクが存在
• 遠隔からの攻撃が可能な場合が多い

この脆弱性は特にネットワーク機器において深刻な影響をもたらす可能性がある。EnGeniusの製品で発見された脆弱性では、wifi_schedule_day_em_5引数を操作することでコマンドインジェクションが可能となり、システムに対する不正なコマンド実行のリスクが存在している。

EnGenius製品の脆弱性に関する考察

EnGenius製品における今回の脆弱性は、CVSSスコアこそMEDIUMレベルだが、遠隔からの攻撃が可能である点で看過できない問題となっている。特にWiFiスケジュール機能は多くのユーザーが利用する可能性が高く、攻撃者による不正アクセスのリスクが高まることが懸念される。

ベンダーの対応が遅れている現状では、影響を受ける製品のユーザーは独自の対策を講じる必要に迫られている。ファイアウォールによるアクセス制限や、管理インターフェースの露出を最小限に抑えるなど、暫定的な対策を実施することが推奨される。

長期的には、IoT機器のセキュリティ管理体制の強化が求められる。特にネットワーク機器は、インフラストラクチャの重要な部分を担うため、脆弱性の早期発見と迅速な対応が不可欠となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-11651 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11651, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧