日本のCERTは、ハッカーがアイ・オー・データ機器のゼロデイ脆弱性を悪用し、機器の設定を変更したり、コマンドを実行したり、あるいはファイアウォールをオフにしたりしていると警告している。
同ベンダーは、同社のウェブサイトに掲載されたセキュリティ情報において、この欠陥を認めている。しかし、修正プログラムは2024年12月18日に公開される予定であるため、緩和策が有効でない限り、ユーザーはそれまで危険にさらされることになる。
脆弱性
2024年11月13日に確認された3つの欠陥は、情報漏洩、リモートでの任意のOSコマンド実行、ファイアウォールを無効にする機能である。
問題の概要は以下の通り:
- CVE-2024-45841:cve-2024-45841: 重要なリソースに対するパーミッションが誤って設定されており、 低レベルの権限を持つユーザが重要なファイルにアクセスできてしまう。例えば、ゲストアカウントの認証情報を知っている第三者が、 認証情報を含むファイルにアクセスできる可能性があります。
- CVE-2024-47133: 認証された管理者ユーザが、設定管理における不十分な入力検証を悪用して、 デバイス上で任意のオペレーティングシステムコマンドを注入し実行できるようになります。
- CVE-2024-52564:cve-2024-52564: ファームウェアの文書化されていない機能またはバックドアにより、リモートの攻撃者が認証なしでデバイスのファイアウォールをオフにし、設定を変更できる可能性があります。
これら 3 つの問題は、汎用的な接続ソリューション向けに設計されたハイブリッド LTE ルーター UD-LT1 およびその産業用バージョン UD-LT1/EX に影響を与えます。
利用可能な最新のファームウェア・バージョンv2.1.9では、CVE-2024-52564のみに対応しており、アイ・オー・データは、他の2つの脆弱性の修正は、2024年12月18日にリリース予定のv2.2.0で利用可能になるとしている。
同ベンダーが会報で確認したように、顧客からはすでにこれらの欠陥が攻撃に悪用されているとの報告が寄せられている。
最近、当社のハイブリッドLTEルーター「UD-LT1」および「UD-LT1/EX」を使用している顧客から、VPNを使用せずにインターネットから設定インターフェースへのアクセスが許可されているとの問い合わせがありました。
「これらの顧客は、外部からの不正アクセスの可能性を報告している。
セキュリティ・アップデートが提供されるまでの間、ベンダーはユーザーに対し、以下の緩和策を実施するよう提案している:
- WANポート、モデム、VPN設定を含むすべてのインターネット接続方法について、リモート管理機能を無効にする。
- 外部からの不正アクセスを防止するため、アクセスを VPN 接続されたネットワークのみに制限する。
- デフォルトの「ゲスト」ユーザーのパスワードを10文字以上の複雑なものに変更する。
- 不正な変更を早期に検出するため、デバイスの設定を定期的に監視および検証し、侵害が検出された場合は、デバイスを工場出荷時のデフォルトにリセットして再設定する。
アイ・オー・データのLTEルーター「UD-LT1」「UD-LT1/EX」は、主に日本国内で販売され、NTTドコモやKDDIなどのマルチキャリアに対応し、国内の主要MVNOのSIMカードに対応している。
Comments