バッファロー製Wi-Fiルーターに複数の脆弱性

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は、バッファロー製の複数のWi-Fiルーターに、Wi-Fiルーターの設定に関する情報の漏洩や、アクセス制限の不備によるroot権限の取得、第三者がリモートでデバッグ機能を有効化できる脆弱性が含まれるとし、対象製品および対応方法に関する情報を公開した。

脆弱性が発見された「WZR-600DHP」

　「CVE-2021-3511」で報告された脆弱性は、第三者がリモートで当該機器の設定情報などを窃取できるもの。「CVE-2021-3512」は、telnetサービスへのアクセス制限の不備により、第三者がリモートで当該機器のtelnetサービスを有効化し、root権限で任意のOSコマンドを実行できる脆弱性が含まれる。

　これらの脆弱性は、ファームウェアの更新によって修正される。対象となる製品はBHR-4GRV、DWR-HP-G300NH、HW-450HP-ZWE、WHR-300HP、WHR-300、WHR-G301N、WHR-HP-G300N、WHR-HP-GN、WPL-05G300、WZR-450HP-CWT、WZR-450HP-UB、WZR-HP-AG300H、WZR-HP-G300NH、WZR-HP-G301NH、WZR-HP-G302H、WZR-HP-G450H、WZR-300HP、WZR-450HP、WZR-600DHP、WZR-D1100H、FS-HP-G300N、FS-600DHP、FS-R600DHP、FS-G300N。

　このほか、「CVE-2021-20716」で報告された脆弱性は、遠隔の第三者によりデバッグ機能を有効化される脆弱性で、製品上で任意のOSコマンド実行や、不正なコードの実行、設定変更、サービス運用妨害（DoS）攻撃などが行われる可能性がある。

　対象となる製品のサポートは既に終了しているため修正アップデートは提供されない。バッファローは、恒久的な対策として該当する製品の使用を停止し、代替製品への移行を推奨している。

　影響を受ける製品は、BHR-4RV、FS-G54、WBR2-B11、WBR2-G54、WBR2-G54-KD、WBR-B11、WBR-G54、WBR-G54L、WHR2-A54G54、WHR2-G54、WHR2-G54V、WHR3-AG54、WHR-G54、WHR-G54-NF、WLA2-G54、WLA2-G54C、WLA-B11、WLA-G54、WLA-G54C、WLAH-A54G54、WLAH-AM54G54、WLAH-G54、WLI2-TX1-AG54、WLI2-TX1-AMG54、WLI2-TX1-G54、WLI3-TX1-AMG54、WLI3-TX1-G54、WLI-T1-B11、WLI-TX1-G54、WVR-G54-NF、WZR-G108、WZR-G54、WZR-HP-G54、WZR-RS-G54、WZR-RS-G54HP。