「WRC-2533GST」など複数のエレコム製Wi-Fiルーターに脆弱性、最新版へのファームウェアアップデートを 

INTERNET Watch

 エレコム株式会社が提供する複数のWi-Fiルーターや中継器に脆弱性が確認されたとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。いずれも、公開されている最新版のファームウェアに更新することで対策できるとしている。

 脆弱性は大きく分けて、ドキュメント化されていない開発画面が存在する問題、クロスサイトスクリプティング、FragAttacksの3種類がある。

ドキュメント化されていない開発画面が存在する問題(CVE-2022-21173)

 当該製品にLAN側からアクセス可能な攻撃者によって、任意のコマンドが実行可能となるとして、エレコムとJVNが情報を公開している。CVSS v3のスコアは8.8。なお、エレコムでは「任意のコマンドが実行できる設定画面が存在する」と記載している。

 対象製品と影響を受けるファームウェアのバージョン、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。手動でのファームウェアの更新が必要となるため注意が必要だ。

対象製品 影響を受けるバージョン 対処方法
WRH-300BK3
WRH-300WH3
WRH-300BK3-S
WRH-300WH3-S
WRH-300LB3-S
WRH-300PN3-S
WRH-300YG3-S
WRH-300DR3-S
v1.05以前 v1.08以降の利用(手動更新)

クロスサイトスクリプティング(CVE-2022-2179)

 当該製品にLAN側からアクセス可能な攻撃者によって、任意のスクリプトやコマンドが実行されるとして、エレコムとJVNが情報を公開している。CVSS v3のスコアは5.2。

 対象製品と影響を受けるファームウェアのバージョン、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。手動でのファームウェアの更新が必要となるため注意が必要だ。

対象製品 影響を受けるバージョン 対処方法
WRC-300FEBK-R v1.13以前 v1.16以降の利用(手動更新)

IEEE802.11規格に関する複数の脆弱性(FragAttacks)

 ネットワーク上の攻撃者により不正なパケットが挿入されたり、通信内容を窃取されたりする可能性があるとして、エレコムが情報を公開している。

 対象製品、および対処方法(修正済みのファームウェアのバージョン)は以下の通り。「手動更新」の記載がない製品のファームウェアは自動で更新が行われる。

対象製品 対処方法
WRC-X1800GS-B
WRC-X1800GSH-B
v1.13以降の利用
WMC-2LX-B
WSC-X1800GS-B
WMC-X1800GST-B
v1.35以降の利用
WRC-2533GS2-B
WRC-2533GS2-W
v1.61以降の利用
WRC-1167GS2-B
WRC-1167GS2H-B
v1.65以降の利用
WRC-2533GST2
WRC-2533GST2SP
WRC-2533GST2-G
v1.27以降の利用
WRC-1167GST2
WRC-1167GST2A
WRC-1167GST2H
v1.27以降の利用
WRC-2533GSTA
WRC-2533GST
v1.06以降の利用
WRC-1900GST v1.06以降の利用
WRC-1750GS v1.06以降の利用
WRC-1750GSV v2.30以降の利用
WRH-733GBK
WRH-733GWH
v1.05以降の利用(手動更新)
WRH-300BK3
WRH-300WH3
WRH-300BK3-S
WRH-300WH3-S
WRH-300LB3-S
WRH-300PN3-S
WRH-300YG3-S
WRH-300DR3-S
v1.08以降の利用(手動更新)
WTC-C1167GC-B
WTC-C1167GC-W
v1.17以降の利用
WRC-300FEBK-R v1.16以降の利用(手動更新)

Source