富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月26日、富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズにおける認証回避の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。株式会社ゼロゼロワンの佐藤勝彦（ｇｏｒｏｈ＿ｋｕｎ）氏が報告を行っている。影響を受けるシステムは以下の通り。

・Si-Rシリーズ
Si-R 30Bすべてのバージョン
Si-R 130Bすべてのバージョン
Si-R 90brinすべてのバージョン

・Si-R V35系シリーズ
Si-R570Bすべてのバージョン
Si-R370Bすべてのバージョン
Si-R220Dすべてのバージョン

・Si-RG V2系シリーズ
Si-R G100 V02.54およびそれ以前のバージョン
Si-R G200 V02.54およびそれ以前のバージョン

・Si-RG V4系シリーズ
Si-R G100B V04.12およびそれ以前のバージョン
Si-R G110B V04.12およびそれ以前のバージョン
Si-R G200B V04.12およびそれ以前のバージョン

・Si-RG V20系シリーズ
Si-R G210 V20.52およびそれ以前のバージョン
Si-R G211 V20.52およびそれ以前のバージョン
Si-R G120 V20.52およびそれ以前のバージョン
Si-R G121 V20.52およびそれ以前のバージョン

・SR-Mシリーズ
SR-M 50AP1すべてのバージョン

　富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-MシリーズのWeb管理インタフェースには認証回避の脆弱性が存在し、当該製品へアクセス可能な第三者によって、当該製品の設定情報を取得されたり、設定の変更やリセット等の操作が行われる可能性がある。

　JVNでは、開発者が提供する情報をもとにファームウェアを最新版にアップデートするよう呼びかけている。Si-RG V2系シリーズ、Si-RG V4系シリーズ、Si-RG V20系シリーズのアップデートは、2023年8⽉以降、順次リリース予定。

　アップデートが提供されない製品については、下記の回避策を適用することで、本脆弱性の影響を軽減することが可能。

当該製品の設定変更により、HTTP/HTTPS機能を無効にする
当該製品のWeb管理インタフェースを使用しない