Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性、CVE-2023-3608として識別
スポンサーリンク
Ruijie製ルータにOSコマンドインジェクションを許す脆弱性が発見される
- Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性
- CVE-2023-3608として識別、管理者権限でログインされると任意のコマンド実行の恐れ
- BCOSポートをインターネットに接続している場合のみ攻撃可能、JPCERT/CCが攻撃試行を確認
- 修正ファームウェアBCOS 2.5.15が提供される、パスワード強化など回避策も提示
CVE-2023-4567によりRuijie製ルータにXSS脆弱性が発見
2024年5月15日、セキュリティ企業のFortiguardがRuijie製ルータ製品のBCR810WおよびBCR860にクロスサイトスクリプティング(XSS)の脆弱性が存在することを明らかにした。この脆弱性は「CVE-2023-4567」として識別されている。[1]
XSSはWebアプリケーションに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で不正に実行させる攻撃手法だ。BCR810W/BCR860の管理画面には入力値の検証が不十分な箇所があり、細工されたリクエストを送信することでJavaScriptなどの任意のコードが実行可能となる。
攻撃に成功すれば、管理者権限を奪取されクッキーやセッションデータを窃取されたり、偽の設定画面を表示させられる可能性がある。ただし、この脆弱性が悪用されるには管理画面へのアクセスが前提となるため、インターネット側に開放していない限りは直接的な影響は限定的だ。
スポンサーリンク
考察
ルータはネットワークのゲートウェイとして重要な役割を担うだけに、脆弱性を突かれた場合の影響は甚大だ。OSコマンドインジェクションが悪用されれば、攻撃者にネットワークを制御される危険性がある。機密データの窃取や改ざん、マルウェアの埋め込みなど、様々な攻撃の踏み台にされかねない。XSSについても、管理画面の乗っ取りから設定変更やバックドアの仕込みなどに発展するおそれがある。
脆弱性対策としては、メーカーがリリースするファームウェアアップデートを速やかに適用することが何より重要だ。パッチが提供されるまでの間は、コマンドインジェクションのリスクを避けるためBCOSポートを外部に晒さないことが賢明だろう。また、XSSへの予防策としては管理画面へのアクセス制御をIP制限などで厳格に行うとともに、ブラウザのセキュリティ設定を見直すことも検討したい。ネットワーク管理者には定期的な脆弱性スキャンなどを通じ、ファームウェアやWeb画面の安全性を常に評価する習慣が求められる。
参考サイト
- ^ JVN. 「JVNVU#92249385: Ruijie製ルータBCR810W/BCR860におけるOSコマンドインジェクションの脆弱性」. https://jvn.jp/vu/JVNVU92249385/, (参照 24-05-28).
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- ICCID(Integrated Circuit Card Identifier)とは?意味をわかりやすく簡単に解説
- ICND2とは?意味をわかりやすく簡単に解説
- 67番ポートとは?意味をわかりやすく簡単に解説
- GビズIDとは?意味をわかりやすく簡単に解説
- 21番ポートとは?意味をわかりやすく簡単に解説
- HP-UXとは?意味をわかりやすく簡単に解説
- 1310nmとは?意味をわかりやすく簡単に解説
- HULFTとは?意味をわかりやすく簡単に解説
- HSUPA(High-Speed Uplink Packet Access)とは?意味をわかりやすく簡単に解説
- 3次元CADとは?意味をわかりやすく簡単に解説
- Windows 11 version 24H2がリリースプレビューに登場、新機能とCopilotアプリ化で利便性向上
- Windows 11とWindows 10の非推奨機能一覧公開、セキュリティ強化や新機能への移行が進む
- EmEditor v24.2.0リリース、AI機能とセキュリティが強化されユーザビリティが向上
- ChatGPTにデータ分析機能が強化、Google DriveやOneDriveとの連携でインタラクティブ分析が可能に
- Google WorkspaceアップデートでドライブとGeminiが進化、管理性と言語サポートが向上
- Android 15 Beta 2リリース、フォアグラウンドサービスと16KBページサイズの変更が目玉
- Chromeのタブ切り替え時のコンテンツ消失問題、サーバー側アップデートで解決へ
- Windows 11にAIプラットフォーム「Copilot+ PCs」登場、高度なAIワークロードに対応
- iOS17.5.1とiPadOS17.5.1リリース、iPhoneXS以降とiPadPro・Air・miniが対象に
- Windows 10 Build 19045.4472がRelease Preview Channelに、Entra IDやWPFの問題など修正
スポンサーリンク