セキュリティ

SECURITY

公開：2025-04-09

【CVE-2025-3328】Tenda AC1206にバッファオーバーフロー脆弱性、リモート攻撃の危険性が深刻化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Tenda AC1206のバッファオーバーフロー脆弱性が発見
• ssid/timeZoneパラメータの操作による深刻な影響
• リモートからの攻撃が可能で高い危険性

Tenda AC1206に発見された重大な脆弱性

2025年4月7日、Tenda AC1206 15.03.06.23において、/goform/fast_setting_wifi_setファイル内のform_fast_setting_wifi_set機能に重大な脆弱性が発見された。この脆弱性はssid/timeZoneパラメータの操作によってバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能な状態となっている。^[1]

この脆弱性はCVSS v4.0で8.7（High）、CVSS v3.1で8.8（High）と評価されており、攻撃の複雑さは低く、特権レベルも低い状態で攻撃が可能となっている。脆弱性の影響範囲は機密性、完全性、可用性のすべてにおいて高いレベルとなっており、早急な対応が必要な状況だ。

VulDBのユーザーであるCH13hhによって報告されたこの脆弱性は、すでに一般に公開されており、攻撃コードが利用可能な状態となっている。他のパラメータも影響を受ける可能性があり、Tendaルーターのユーザーにとって深刻な脅威となっている。

Tenda AC1206の脆弱性詳細

バッファオーバーフローについて

バッファオーバーフローとは、プログラムにおいて確保されたメモリ領域（バッファ）を超えてデータを書き込むことで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムのクラッシュや異常終了を引き起こす可能性
• 任意のコード実行やシステム権限の奪取につながる危険性
• メモリ破損によるデータの改ざんや情報漏洩のリスク

今回のTenda AC1206の脆弱性では、form_fast_setting_wifi_set機能におけるssid/timeZoneパラメータの処理において、入力値の検証が適切に行われていないことが原因でバッファオーバーフローが発生する。攻撃者はこの脆弱性を悪用することで、リモートから機器に対して深刻な影響を与えることが可能だ。

Tenda AC1206の脆弱性に関する考察

Tenda AC1206の脆弱性が一般に公開され、攻撃コードも利用可能な状態となっていることは、ユーザーにとって非常に深刻な問題となっている。特にリモートからの攻撃が可能であり、攻撃の複雑さも低いことから、早急なファームウェアアップデートによる対策が必要不可欠だ。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化や、入力値の厳格な検証処理の実装が重要となってくるだろう。特にIoT機器のセキュリティは、ネットワーク全体の安全性に直結する問題であり、製造元による継続的なセキュリティ対策の実施が望まれる。

また、ユーザー側でも定期的なファームウェアアップデートの確認や、不要なサービスの無効化、強力なパスワードの設定など、基本的なセキュリティ対策を徹底することが重要だ。IoT機器のセキュリティリスクは年々高まっており、メーカーとユーザーの双方による適切な対応が求められる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3328, (参照 25-04-09).
2107

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧