エレコム株式会社が提供する複数のWi-Fiルーターや中継器に脆弱性が確認されたとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。いずれも、公開されている最新版のファームウェアに更新することで対策できるとしている。
脆弱性は大きく分けて、ドキュメント化されていない開発画面が存在する問題、クロスサイトスクリプティング、FragAttacksの3種類がある。
ドキュメント化されていない開発画面が存在する問題(CVE-2022-21173)
当該製品にLAN側からアクセス可能な攻撃者によって、任意のコマンドが実行可能となるとして、エレコムとJVNが情報を公開している。CVSS v3のスコアは8.8。なお、エレコムでは「任意のコマンドが実行できる設定画面が存在する」と記載している。
対象製品と影響を受けるファームウェアのバージョン、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。手動でのファームウェアの更新が必要となるため注意が必要だ。
対象製品 | 影響を受けるバージョン | 対処方法 |
WRH-300BK3 WRH-300WH3 WRH-300BK3-S WRH-300WH3-S WRH-300LB3-S WRH-300PN3-S WRH-300YG3-S WRH-300DR3-S |
v1.05以前 | v1.08以降の利用(手動更新) |
クロスサイトスクリプティング(CVE-2022-2179)
当該製品にLAN側からアクセス可能な攻撃者によって、任意のスクリプトやコマンドが実行されるとして、エレコムとJVNが情報を公開している。CVSS v3のスコアは5.2。
対象製品と影響を受けるファームウェアのバージョン、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。手動でのファームウェアの更新が必要となるため注意が必要だ。
対象製品 | 影響を受けるバージョン | 対処方法 |
WRC-300FEBK-R | v1.13以前 | v1.16以降の利用(手動更新) |
IEEE802.11規格に関する複数の脆弱性(FragAttacks)
ネットワーク上の攻撃者により不正なパケットが挿入されたり、通信内容を窃取されたりする可能性があるとして、エレコムが情報を公開している。
対象製品、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。「手動更新」の記載がない製品のファームウェアは自動で更新が行われる。
対象製品 | 対処方法 |
WRC-X1800GS-B WRC-X1800GSH-B |
v1.13以降の利用 |
WMC-2LX-B WSC-X1800GS-B WMC-X1800GST-B |
v1.35以降の利用 |
WRC-2533GS2-B WRC-2533GS2-W |
v1.61以降の利用 |
WRC-1167GS2-B WRC-1167GS2H-B |
v1.65以降の利用 |
WRC-2533GST2 WRC-2533GST2SP WRC-2533GST2-G |
v1.27以降の利用 |
WRC-1167GST2 WRC-1167GST2A WRC-1167GST2H |
v1.27以降の利用 |
WRC-2533GSTA WRC-2533GST |
v1.06以降の利用 |
WRC-1900GST | v1.06以降の利用 |
WRC-1750GS | v1.06以降の利用 |
WRC-1750GSV | v2.30以降の利用 |
WRH-733GBK WRH-733GWH |
v1.05以降の利用(手動更新) |
WRH-300BK3 WRH-300WH3 WRH-300BK3-S WRH-300WH3-S WRH-300LB3-S WRH-300PN3-S WRH-300YG3-S WRH-300DR3-S |
v1.08以降の利用(手動更新) |
WTC-C1167GC-B WTC-C1167GC-W |
v1.17以降の利用 |
WRC-300FEBK-R | v1.16以降の利用(手動更新) |