バッファロー製ネットワーク機器に複数の脆弱性 | ScanNetSecurity
2024.07.27(土)

バッファロー製ネットワーク機器に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2022-39044
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

・CVE-2022-34840
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前

・CVE-2022-40966
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WRM-D2133HP ファームウェア Ver. 2.85 およびそれ以前
WRM-D2133HS ファームウェア Ver. 2.96 およびそれ以前
WTR-M2133HP ファームウェア Ver. 2.85 およびそれ以前
WTR-M2133HS ファームウェア Ver. 2.96 およびそれ以前
WXR-1900DHP ファームウェア Ver. 2.50 およびそれ以前
WXR-1900DHP2 ファームウェア Ver. 2.59 およびそれ以前
WXR-1900DHP3 ファームウェア Ver. 2.63 およびそれ以前
WXR-5950AX12 ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12B ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12S ファームウェア Ver. 3.40 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-1750DHP2 ファームウェア Ver. 2.31 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WEM-1266 ファームウェア Ver. 2.85 およびそれ以前
WEM-1266WP ファームウェア Ver. 2.85 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

 株式会社バッファローが提供する複数のネットワーク機器には、それぞれ下記の影響を受ける可能性がある複数の脆弱性が存在する。

・ドキュメント化されていないデバッグ機能を有効化される問題(CVE-2022-39044)
→当該製品にログインしたユーザにデバッグ機能にアクセスされ、当該製品上で任意の OS コマンドが実行される

・ハードコードされた認証情報の使用(CVE-2022-34840)
→隣接するネットワーク上の第三者に当該製品の設定を変更される

・認証回避(CVE-2022-40966)
→隣接するネットワーク上の第三者に認証を回避され、当該製品に不正にアクセスされる

 JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)

    「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)

  2. VMware 製品にヒープベースのバッファオーバーフローの脆弱性や複数のローカル権限昇格の脆弱性

    VMware 製品にヒープベースのバッファオーバーフローの脆弱性や複数のローカル権限昇格の脆弱性

  3. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  4. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  5. glibc の ld.so における GLIBC_TUNABLES 環境変数の処理に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  6. Assimp にヒープベースのバッファオーバーフローの脆弱性

  7. 「Microsoft Teams」に、DLL読み込みに起因する任意コード実行の脆弱性(JVN)

  8. acmailer の脆弱性の確認と対応方法、さくらインターネット公開

  9. TikTok を悪用する新たな詐欺行為、盗んだ動画でライブ配信しギフトを収益化

  10. PC版「ダークソウル」シリーズのサーバを一時停止、攻撃者が任意のコードを実行できる脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×