2024年12月16日
平素は、弊社製品をご愛用いただき、誠にありがとうございます。
弊社が製造した一部のルーター製品に関して、複数のセキュリティ上の脆弱性が存在することが判明しました。
脆弱性の概要、対象製品につきましては下記の表を御覧ください。
お客様のネットワーク環境のセキュリティ向上のためソフトウェア更新を行いましたので、ご対象のお客様におかれましては、速やかにソフトウェア更新をお願いいたします。
当該製品をご愛用いただいておりますお客様に多大なご迷惑をおかけしますことを深くお詫び申し上げます。
| 脆弱性識別番号 | JVN#61635834 / CVE IDは下記「詳細情報」をご覧ください。 |
|---|---|
| 該当する製品名 およびバージョン |
株式会社NTTドコモ様向け
|
| 詳細情報 | CVE-2024-45721 : OS command injectionによるRoot権限奪取のおそれがある CVE-2024-52321 : Backup fileへのaccess権限不備による情報漏洩のおそれがある CVE-2024-54082 : Backup file改竄によるRestore時のroot権限奪取のおそれがある CVE-2024-46873 : webUIの隠しURLへのアクセスによるroot権限奪取のおそれがある CVE-2024-47864 : webUIの隠しURLへのアクセスによるサービス拒否のおそれがある |
| 影響をうける製品 | CVE-2024-45721: SH-52B/SH-54C/HR02 CVE-2024-52321 : SH-05L/SH-52B/SH-54C/HR02/ 809SH/W07 CVE-2024-54082 : SH-54C/HR02 CVE-2024-46873 : SH-05L/SH-52B/SH-54C/HR02/ 809SH/W07 CVE-2024-47864 : SH-52B/SH-54C/HR02 |
| 攻撃が行われる条件 | 本脆弱性を利用した外部からの攻撃が成立する条件は以下となります。
|
| 発生しうる影響 | ①悪意のある攻撃者により、ルーター上で任意のコードが実行されるおそれがあります。 ②悪意のある攻撃者により、ルーター内の特定ファイルの取得及び閲覧が可能となるおそれがあります。 ③悪意のある攻撃者により、ルーターをハングアップさせられるおそれがあります。 |
| 対応方法 | 本不具合(脆弱性)を修正したソフトウェアを提供しておりますので、各製品のウェブサイトをご参照の上、ソフトウェア更新を実施いただきますよう、お願い申し上げます。 なお、ソフトウェアの自動更新設定をされているルーターでは、既に更新が完了している場合があります。 |
| 謝辞 | 本脆弱性の発見 および ご連絡頂きましたJPCERT/CC様 及び 発見者の方へ感謝を申し上げます。 |