東芝ライテック製ホームゲートウェイに複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、東芝ライテックが提供するホームゲートウェイに複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2017年6月28日（水） 16時57分

バッファロー製無線 LAN ルータに複数の脆弱性
OpenSSLにサービス運用妨害（DoS）の脆弱性
a-blog cms に複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月27日、東芝ライテック株式会社が提供するホームゲートウェイに複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは8.8。三井物産セキュアディレクション株式会社の国分裕氏が報告を行った。

「東芝ホームゲートウェイ HEM-GW16A ファームウェア HEM-GW16A-FW-V1.2.0 およびそれ以前」「東芝ホームゲートウェイ HEM-GW26A ファームウェア HEM-GW26A-FW-V1.2.0 およびそれ以前」には、ドキュメントに記載されていない開発用画面の存在（CVE-2017-2234）、アクセス制限不備（CVE-2017-2235）、認証情報がハードコードされている問題（CVE-2017-2236）、OSコマンドインジェクション（CVE-2017-2237）、クロスサイトリクエストフォージェリ（CVE-2017-2238）の脆弱性が存在する。JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》

ソース・関連リンク

GDPR 施行控えセキュリティ人材が超売手市場、英では給与 1.4 倍に（The Register）2017.6.23 Fri 8:15
工藤伸治のセキュリティ事件簿シーズン6 「誤算」第1回「プロローグ：七月十日夕方犯人」2015.7.16 Thu 13:45
柳井政和作「QR ―Trojan Room coffee pot―」－起こりうる事件来たるべき世界～サイバーミステリ小説アンソロジー2017.6.26 Mon 12:00
スマートテレビがランサムウェアに感染する瞬間を目撃！ IoTセミナー（トレンドマイクロ）2016.11.9 Wed 11:45

Scan PREMIUM 会員限定記事

研修・セミナー・カンファレンス 2024.4.18(Thu) 8:10
ガートナークラウドクッキング教室～ CCoE 構築の重要性

　最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。
OWASP データブリーチ

　幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。
2024.4.16(Tue) 8:00
悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

　大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
2024.4.11(Thu) 8:10
AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

　興味深い研究発表として、イスラエル工科大学やコーネル工科大学などの研究者は、OpenAI の ChatGPT や Google の Gemini など、生成 AI を活用する AI アプリケーションを標的としたゼロクリックワーム「Morris II」を開発し、ユーザーの個人情報の窃取に成功したことを発表しました。
2024.4.9(Tue) 8:10