センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性 | ScanNetSecurity
2024.07.18(木)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月16日、センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月16日、センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの佐藤勝彦(goroh_kun)氏が報告を行っている。影響を受けるシステムは以下の通り。

FutureNet NXR-1300シリーズ ファームウェア Version 7.4.9 およびそれ以前
FutureNet NXR-650 ファームウェア Version 21.16.1 およびそれ以前
FutureNet NXR-610Xシリーズ ファームウェア Version 21.14.11 およびそれ以前
FutureNet NXR-530 ファームウェア Version 21.11.13 およびそれ以前
FutureNet NXR-350/C ファームウェア Version 5.30.9 およびそれ以前
FutureNet NXR-230/C ファームウェア Version 5.30.12 およびそれ以前
FutureNet NXR-160/LW ファームウェア Version 21.8.3 およびそれ以前
FutureNet NXR-G200シリーズ ファームウェア Version 9.12.15 およびそれ以前
FutureNet NXR-G180/L-CA ファームウェア Version 21.7.28B およびそれ以前
FutureNet NXR-G120シリーズ ファームウェア Version 21.15.2 およびそれ以前
FutureNet NXR-G110シリーズ ファームウェア Version 21.7.30C およびそれ以前
FutureNet NXR-G100シリーズ ファームウェア Version 6.23.10 およびそれ以前
FutureNet NXR-G060シリーズ ファームウェア Version 21.15.5 およびそれ以前
FutureNet NXR-G050シリーズ ファームウェア Version 21.12.9 およびそれ以前
FutureNet VXR/x64 ファームウェア Version 21.7.31 およびそれ以前
FutureNet VXR/x86 ファームウェア Version 10.1.4 およびそれ以前
FutureNet NXR-1200 ファームウェア Version 5.25.21 およびそれ以前
FutureNet NXR-130/C ファームウェア Version 5.13.21 およびそれ以前
FutureNet NXR-155/Cシリーズ ファームウェア Version 5.22.5M およびそれ以前
FutureNet NXR-125/CX ファームウェア Version 5.25.7H およびそれ以前
FutureNet NXR-120/C ファームウェア Version 5.25.7H およびそれ以前
FutureNet WXR-250 ファームウェア Version 1.4.7 およびそれ以前

 センチュリー・システムズ株式会社が提供するルータ FutureNet NXRシリーズ、VXRシリーズ、WXRシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・安全でない初期設定(CVE-2024-31070)
→ Telnetに無制限でアクセスされる

・利用可能なデバッグ機能(CVE-2024-36475)
→デバッグ機能の使用方法を知っているユーザがログインした場合、デバッグ機能を使用され、任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2024-36491)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける

・バッファオーバーフロー(CVE-2020-10188)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける

 JVNでは、それぞれ下記の対策を推奨している。

・CVE-2024-31070
→当該製品を初期設定のまま使用している場合、CLIコマンドを利用してTelnetを無効化し、SSHの利用を推奨

・CVE-2024-36475、CVE-2024-36491、CVE-2020-10188
→アップデートする

 また開発者によると、本件の影響を受ける製品群の一部はすでにサポートが終了しているため、現行製品の利用を停止し、後続製品に移行することを推奨している。

《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report) 画像

TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
FUJITSU Network Edgiot GW1500 にパストラバーサルの脆弱性 画像

FUJITSU Network Edgiot GW1500 にパストラバーサルの脆弱性
センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性 画像

センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性
サイボウズ Garoon に XSS の脆弱性 画像

サイボウズ Garoon に XSS の脆弱性
オンラインカジノへ誘導「ライトアッププロムナード・なら」無断模倣サイトに注意呼びかけ 画像

オンラインカジノへ誘導「ライトアッププロムナード・なら」無断模倣サイトに注意呼びかけ
TONEストアアプリがTONEストアと平文で通信している問題、中間者攻撃で第三者に通信内容を傍受される可能性 画像

TONEストアアプリがTONEストアと平文で通信している問題、中間者攻撃で第三者に通信内容を傍受される可能性

インシデント・事故 記事一覧へ

イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい 画像

イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい
「WelcomeHR」サイバー保険に加入 画像

「WelcomeHR」サイバー保険に加入
JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に 画像

JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に
自動車用車体プレス部品の製造等を行う J-MAX の連結子会社に不正アクセス、生産や出荷に影響はなし 画像

自動車用車体プレス部品の製造等を行う J-MAX の連結子会社に不正アクセス、生産や出荷に影響はなし
新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働 画像

新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働
日本生命保険の元社員を威力業務妨害の容疑で逮捕 画像

日本生命保険の元社員を威力業務妨害の容疑で逮捕

調査・レポート・白書・ガイドライン 記事一覧へ

TwoFive が 2024年上半期「フィッシングトレンド」公開 ~「くらし TEPCO」 装い 未払い電気料金の支払い促すフィッシングサイト増加 画像

TwoFive が 2024年上半期「フィッシングトレンド」公開 ~「くらし TEPCO」 装い 未払い電気料金の支払い促すフィッシングサイト増加
敵対的 AI 対抗で「侵入前提」から「予防優先」に転換 画像

敵対的 AI 対抗で「侵入前提」から「予防優先」に転換
わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化 画像

わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化
インターネットバンキング預金等の不正払戻し、2023 年度の被害件数は個人法人ともに前年度の 3 倍に 画像

インターネットバンキング預金等の不正払戻し、2023 年度の被害件数は個人法人ともに前年度の 3 倍に
なりすましメール被害発覚 きっかけの 4 割が「取引先・顧客より連絡」 ~ 被害企業 190 社調査 画像

なりすましメール被害発覚 きっかけの 4 割が「取引先・顧客より連絡」 ~ 被害企業 190 社調査
2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査 画像

2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査

研修・セミナー・カンファレンス 記事一覧へ

自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催 画像

自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催
「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか 画像

「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか
7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説 画像

7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説
開発元にソフトウェアの製造責任を負わせるのは合理的? 画像

開発元にソフトウェアの製造責任を負わせるのは合理的?
8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか 画像

8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか
エーアイセキュリティラボ「診断ツールのリアルな通信簿 生成 AI で精度とスピードはどこまで変わる?」7/24開催、具体的な診断時間や画面数を提示 画像

エーアイセキュリティラボ「診断ツールのリアルな通信簿 生成 AI で精度とスピードはどこまで変わる?」7/24開催、具体的な診断時間や画面数を提示

製品・サービス・業界動向 記事一覧へ

Word の墨塗り機能強化 ~ 匿名加工情報作成ソフト「tasokarena」 画像

Word の墨塗り機能強化 ~ 匿名加工情報作成ソフト「tasokarena」
AeyeScan blog 第7回「御社のWebサイトに潜む『放置ページ』を見つける方法」 画像

AeyeScan blog 第7回「御社のWebサイトに潜む『放置ページ』を見つける方法」
迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表 画像

迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表
NTTデータ経営研究所、地域金融機関向けにサイバーセキュリティ合同演習 画像

NTTデータ経営研究所、地域金融機関向けにサイバーセキュリティ合同演習
2 年連続 ITパスポート試験が 1 位、情報セキュリティマネジメント試験も注目ランキングで 2 位に 画像

2 年連続 ITパスポート試験が 1 位、情報セキュリティマネジメント試験も注目ランキングで 2 位に
米国商務省産業安全保障局、米 Kaspersky Lab, Inc. に米国内での提供を禁止する最終決定 画像

米国商務省産業安全保障局、米 Kaspersky Lab, Inc. に米国内での提供を禁止する最終決定

おしらせ 記事一覧へ

本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選 画像

本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選
創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×