セキュリティ

SECURITY

公開：2024-07-18

FutureNet NXR、VXR、WXRシリーズに脆弱性、最大CVSSスコア9.8の重大な問題発覚

text: XEXEQ編集部

記事の要約

• センチュリー・システムズ製ルータに複数の脆弱性
• CVE-2024-31070など4つの脆弱性が確認
• ファームウェア更新による対策を推奨

センチュリー・システムズ製ルータの脆弱性発見

センチュリー・システムズ株式会社が提供するFutureNet NXRシリーズ、VXRシリーズ、およびWXRシリーズのルータに複数の深刻な脆弱性が発見された。これらの脆弱性は、安全でない初期設定（CVE-2024-31070）、利用可能なデバッグ機能（CVE-2024-36475）、OSコマンドインジェクション（CVE-2024-36491）、バッファオーバーフロー（CVE-2020-10188）など、多岐にわたる問題を含んでいる。影響を受ける製品は、NXRシリーズの多数のモデルとそのファームウェアバージョンに及んでおり、企業ネットワークのセキュリティに重大な影響を与える可能性がある。^[1]

これらの脆弱性のCVSSスコアは最大で9.8（基本値）に達しており、攻撃者によって悪用された場合、遠隔からの任意のOSコマンド実行や機密情報の窃取、システムの改ざん、さらにはサービス運用妨害（DoS）攻撃などが可能となる。特に、Telnetへの無制限アクセスを許可する初期設定の問題や、デバッグ機能を通じた権限昇格の可能性は、ネットワーク管理者にとって早急な対応が求められる深刻な脆弱性だ。

CVSSスコアとは

CVSSスコアとは、Common Vulnerability Scoring Systemの略で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。0から10の数値で表され、数値が高いほど脆弱性の深刻度が高いことを示す。

• 0.0-3.9: 低severity（深刻度）
• 4.0-6.9: 中severity（深刻度）
• 7.0-8.9: 高severity（深刻度）
• 9.0-10.0: 致命的severity（深刻度）

CVSSスコアは、攻撃の複雑さ、必要な権限、影響の範囲などの要素を考慮して算出される。センチュリー・システムズ製ルータの脆弱性のうち3つが9.8という高いスコアを示しており、これらの脆弱性が非常に深刻であることがわかる。

ルータの脆弱性に関する考察

センチュリー・システムズ製ルータの脆弱性は、企業ネットワークのセキュリティに重大な影響を及ぼす可能性がある。特に、初期設定の不備やデバッグ機能の悪用可能性は、攻撃者にシステムへの侵入口を提供してしまう恐れがある。今後、これらの脆弱性を利用した標的型攻撃やランサムウェア感染などのインシデントが増加する可能性も考えられるだろう。

今後、ルータメーカーには初期設定の見直しやセキュアな開発プロセスの導入が求められる。特に、Telnetの無効化やSSHの有効化をデフォルトにするなど、セキュリティを重視した設定の採用が望まれる。また、ファームウェアの自動更新機能や脆弱性スキャン機能の実装など、ユーザーが容易にセキュリティを維持できる機能の追加も期待したい。

この事例は、ネットワーク機器のセキュリティ管理の重要性を再認識させるものだ。定期的なファームウェア更新やセキュリティ設定の見直しなど、継続的なセキュリティ対策の実施が不可欠となる。一方で、製品のサポート終了後の対応も課題となっており、長期的なセキュリティサポート体制の構築が求められるだろう。

参考サイト

1. ^ JVN. 「JVNVU#96424864: センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性」. https://jvn.jp/vu/JVNVU96424864/index.html, (参照 24-07-18).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧