バッファローの複数ネットワーク製品に脆弱性、ファームウェアの更新を

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月9日、「JVNVU#97099584: バッファロー製ネットワーク機器における複数の脆弱性」において、ルータなどのバッファロー製ネットワーク製品に複数の脆弱性が報告されていると伝えた。これら脆弱性を悪用されると、攻撃者によって対象のシステムで任意のコマンドを実行されるなどの被害を受ける危険性がある。

該当する脆弱性に関する情報は、バッファローが提供する次のページにまとめられている。

ルーター等の一部商品における複数の脆弱性とその対処方法 | バッファロー

報告されている脆弱性は次の3つ。影響を受ける製品は脆弱性によって異なるため、詳細は、JPCERT/CCのレポートまたは上記バッファローからのお知らせを参照のこと。

CVE-2022-43466: 該当する機器の管理画面にログイン可能な第三者によって、特定のCGIプログラムに対して細工されたリクエストが送信されることで、特定の管理画面を開いた際に任意のコマンドが実行される危険性がある
CVE-2022-43443: 該当する機器にアクセス可能な第三者によって、管理画面に細工されたリクエストが送信されることで、任意のコマンドが実行される危険性がある
CVE-2022-43486: 該当する機器の管理画面にログイン可能な第三者によって、デバッグ機能が不正に有効化されて、任意のコマンドが実行される危険性がある

いずれの脆弱性も、ファームウェアを最新版にアップデートすることによって影響を回避できるという。JPCERT/CCでは、バッファローが提供する情報を基にアップデートを適用することを推奨している。