JPCERTコーディネーションセンター(JPCERT/CC)がNTT東日本のホームゲートウェイおよびひかり電話ルータで脆弱性があることを発表しました。攻撃者が対象となる機器のWAN側IPv6アドレスを特定した場合、WAN側から機器の設定画面にアクセスできる可能性があります。(アクセス制限不備CWE-451の脆弱性)
今回の対象となる製品は以下のとおりです。「MI」が付いているので、三菱電機製でしょうか。
- ひかり電話ルータ RT-400MI Ver.09.00.0015およびそれ以前
- ひかり電話ルータ PR-400MI Ver.09.00.0015およびそれ以前
- ひかり電話ルータ RV-440MI Ver.09.00.0015およびそれ以前
- ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0004およびそれ以前
- ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0008およびそれ以前
脆弱性の影響を受けるのはNTT東日本のエリアで契約をしている場合に限られます。たとえ同一機種であっても、NTT西日本の契約者は影響を受けないと周知されています。
脆弱性に対しては、すでにNTT東日本から提供されているファームウェアの最新版を適用することで修復することができます。例えば、RX-600MI/PR-600MIであればこちらで配布されています。
自宅で「RX-600MI」を使っています。こちらで紹介しています。
この商品のファームウェア更新の初期値は「自動更新」となっているようなので、既に更新されているかもしれません。「手動更新」になっていたとしても、接続している電話機からファームウェアの更新を指示できるようです。ファームウェアが最新版になっているか否か確認するようにします。
コメント