独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月16日、センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの佐藤勝彦(goroh_kun)氏が報告を行っている。影響を受けるシステムは以下の通り。
FutureNet NXR-1300シリーズ ファームウェア Version 7.4.9 およびそれ以前
FutureNet NXR-650 ファームウェア Version 21.16.1 およびそれ以前
FutureNet NXR-610Xシリーズ ファームウェア Version 21.14.11 およびそれ以前
FutureNet NXR-530 ファームウェア Version 21.11.13 およびそれ以前
FutureNet NXR-350/C ファームウェア Version 5.30.9 およびそれ以前
FutureNet NXR-230/C ファームウェア Version 5.30.12 およびそれ以前
FutureNet NXR-160/LW ファームウェア Version 21.8.3 およびそれ以前
FutureNet NXR-G200シリーズ ファームウェア Version 9.12.15 およびそれ以前
FutureNet NXR-G180/L-CA ファームウェア Version 21.7.28B およびそれ以前
FutureNet NXR-G120シリーズ ファームウェア Version 21.15.2 およびそれ以前
FutureNet NXR-G110シリーズ ファームウェア Version 21.7.30C およびそれ以前
FutureNet NXR-G100シリーズ ファームウェア Version 6.23.10 およびそれ以前
FutureNet NXR-G060シリーズ ファームウェア Version 21.15.5 およびそれ以前
FutureNet NXR-G050シリーズ ファームウェア Version 21.12.9 およびそれ以前
FutureNet VXR/x64 ファームウェア Version 21.7.31 およびそれ以前
FutureNet VXR/x86 ファームウェア Version 10.1.4 およびそれ以前
FutureNet NXR-1200 ファームウェア Version 5.25.21 およびそれ以前
FutureNet NXR-130/C ファームウェア Version 5.13.21 およびそれ以前
FutureNet NXR-155/Cシリーズ ファームウェア Version 5.22.5M およびそれ以前
FutureNet NXR-125/CX ファームウェア Version 5.25.7H およびそれ以前
FutureNet NXR-120/C ファームウェア Version 5.25.7H およびそれ以前
FutureNet WXR-250 ファームウェア Version 1.4.7 およびそれ以前
センチュリー・システムズ株式会社が提供するルータ FutureNet NXRシリーズ、VXRシリーズ、WXRシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・安全でない初期設定(CVE-2024-31070)
→ Telnetに無制限でアクセスされる
・利用可能なデバッグ機能(CVE-2024-36475)
→デバッグ機能の使用方法を知っているユーザがログインした場合、デバッグ機能を使用され、任意のOSコマンドを実行される
・OSコマンドインジェクション(CVE-2024-36491)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける
・バッファオーバーフロー(CVE-2020-10188)
→遠隔の第三者によって、任意のOSコマンドを実行されたり、機微な情報を窃取されたり、改ざんされたり、サービス運用妨害(DoS)攻撃を受ける
JVNでは、それぞれ下記の対策を推奨している。
・CVE-2024-31070
→当該製品を初期設定のまま使用している場合、CLIコマンドを利用してTelnetを無効化し、SSHの利用を推奨
・CVE-2024-36475、CVE-2024-36491、CVE-2020-10188
→アップデートする
また開発者によると、本件の影響を受ける製品群の一部はすでにサポートが終了しているため、現行製品の利用を停止し、後続製品に移行することを推奨している。
