セキュリティ

SECURITY

公開：2025-04-07

【CVE-2025-29361】Tenda RX3のBuffer Overflow脆弱性が公開、DoS攻撃のリスクで即座の対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Tenda RX3のファームウェアにBuffer Overflow脆弱性が発見
• 攻撃者によるDoS攻撃が可能な深刻な脆弱性
• CVSSスコア7.5のHigh評価で即座の対応が必要

Tenda RX3のBuffer Overflow脆弱性

MITREは2025年3月13日、Tenda RX3のファームウェアUS_RX3V1.0br_V16.03.13.11_multi_TDE01にBuffer Overflow脆弱性が存在することを公開した。この脆弱性は/goform/SetVirtualServerCfgのlistパラメータにおいて発見され、攻撃者による細工されたパケットを介してDoS攻撃が可能となっている。^[1]

CVE-2025-29361として識別されたこの脆弱性は、CWE-120（Classic Buffer Overflow）に分類される重大な脆弱性であることが判明した。NVDによる評価では、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権レベルも不要とされており、影響範囲の深刻度は高いと判定されている。

CISAのAuthorized Data Publishersによる分析では、この脆弱性は自動化された攻撃が可能であり、技術的な影響度は部分的とされている。SSVCによる評価でもexploitationの可能性が指摘されており、早急な対策が必要とされている。

Tenda RX3の脆弱性情報まとめ

Buffer Overflowについて

Buffer Overflowとは、プログラムがバッファに書き込むデータのサイズチェックを適切に行わないことで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ領域を超えたデータ書き込みによりシステムクラッシュを引き起こす可能性
• 攻撃者による任意のコード実行やDoS攻撃の原因となる
• 入力値の適切なバリデーションによって防止可能

Tenda RX3の事例では、/goform/SetVirtualServerCfgのlistパラメータに対する不適切な入力値チェックにより、Buffer Overflowが発生する可能性が確認されている。この脆弱性は攻撃者による細工されたパケットを介してDoS攻撃を引き起こす可能性があり、早急な対策が必要とされている。

Tenda RX3の脆弱性に関する考察

Tenda RX3の脆弱性が公開されたことで、ネットワーク機器のセキュリティ対策の重要性が改めて浮き彫りとなった。特にBuffer Overflow脆弱性は基本的な実装ミスによって引き起こされるため、開発段階での適切なコードレビューと入力値チェックの実装が不可欠である。

今後はIoT機器の普及に伴い、同様の脆弱性が発見されるリスクが高まることが予想される。特にネットワーク機器はインターネットに直接接続されることが多いため、脆弱性が発見された場合の影響は甚大となる可能性が高く、製品のセキュリティ品質向上が急務となっている。

製品開発者には、セキュアコーディングガイドラインの徹底的な遵守と、定期的なセキュリティ監査の実施が求められる。また、ユーザー側でもファームウェアの定期的な更新確認や、不要なサービスの無効化など、基本的なセキュリティ対策を講じることが重要となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-29361, (参照 25-04-07).
1035

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧