Headline
CVE-2021-20642: 無線LANルーターなどネットワーク製品の一部における脆弱性に関して - 最新情報 - セキュリティ情報|ELECOM
Improper check or handling of exceptional conditions in LOGITEC LAN-W300N/RS allows a remote attacker to cause a denial-of-service (DoS) condition by sending a specially crafted URL.
日頃は、当社製品をご愛顧いただきまして、誠にありがとうございます。当社製の一部の無線LANルーターなどネットワーク製品の一部におきまして、以下脆弱性が判明いたしました。
対象製品のアップデートサービスは終了しております。お客様が気づかない状態でも悪用される場合がありますのでセキュリティ保護のため対象製品のご利用を中止いただき、現行製品への切り替えをご検討いただけますようお願い申し上げます。
お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。何卒ご理解とご協力を賜りますようお願い申し上げます。
脆弱性がもたらす脅威
◀テーブルはスクロールできます
製品
製品発売日
概要情報
脆弱性がもたらす脅威
対処方法
関連情報
LAN-WH450N/GR
2011年4月
Logitec LAN-WH450N/GR における PIN認証不備
対象製品の無線 LAN 到達範囲にいる第三者によって PIN が解読され、対象製品が提供するネットワークにアクセスされる可能性があります。
製品の使用中止
JVN#96783542
LAN-W300N/PR5B
2011年4月
Logitec LAN-W300N/PR5B におけるクロスサイトリクエストフォージェリの脆弱性
対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、意図せず当該製品の設定変更などをさせられる可能性があります。
Logitec LAN-W300N/PR5B におけるサービス運用妨害(DoS)の脆弱性
特定のリクエストでWebUIにアクセスできなくなる
対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、サービス運⽤妨害 (DoS) 攻撃を受ける可能性があります。
LAN-W300N/PGRB
2011年10月
Logitec LAN-W300N/PGRB における OS コマンドインジェクションの脆弱性
対象製品の Web 管理ページにアクセス可能な攻撃者によって、任意の OS コマンドを実⾏される可能性があります。
Logitec LAN-W300N/PGRB におけるバッファオーバーフローの脆弱性
Logitec LAN-W300N/PGRB における OS コマンドインジェクションの脆弱性
LAN-W300N/RS
2011年7月
Logitec LAN-W300N/RS におけるクロスサイトリクエストフォージェリの脆弱性
対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、意図せず当該製品の設定変更などをさせられる可能性があります。
Logitec LAN-W300N/RS におけるサービス運用妨害 (DoS) の脆弱性
対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、サービス運⽤妨害 (DoS) 攻撃を受ける可能性があります。
◀テーブルはスクロールできます
製品
製品発売日
概要情報
脆弱性がもたらす脅威
対処方法
関連情報
LD-PS/U1
2003年12月
ELECOM LD-PS/U1におけるアクセス制限の回避
遠隔の第三者により細⼯されたリクエストを処理することで、対象製品の管理パスワードが変更される可能性があります。
製品の使用中止
JVN#47580234
WRC-1467GHBK-A
2015年8月
ELECOM WRC-1467GHBK-A におけるスクリプトインジェクションの脆弱性
細⼯された SSIDを管理画⾯上で表⽰することで、ユーザのウェブブラウザ上で、任意のスクリプトが実⾏される可能性があります。
製品の使用中止
WRC-300FEBK
WRC-F300NF
2014年3月
ELECOM WRC-300FEBK における OS コマンドインジェクションの脆弱性
対象製品でUPnP が有効な場合、対象製品にアクセス可能な第三者により任意の OS コマンドが実⾏される可能性があります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
・UPnPの設定を無効にしてご利用ください。
設定画面の「UPnPを有効にする」がチェックされている場合は、チェックを外し「適用」し設定変更してください。※初期設定は「有効」になっております。
詳しい設定変更方法は製品ユーザーズマニュアルの「WAN設定 画面」( 70ページ以降)を参照ください。
https://www.elecom.co.jp/support/manual/network/wireless-lan/router/wrc-300febk/WRC-300FEBK_users_v4.pdf
WRC-300FEBK-A
2015年2月
ELECOM WRC-300FEBK-Aにおけるクロスサイトスクリプティングの脆弱性
対象製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトが実⾏される可能性があります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
- ・設定画面のログインパスワードを変更する
- ・設定画面にログインしている間、他のウェブサイトにアクセスしない
- ・設定画面での操作終了後は、ウェブブラウザを終了する
- ・ウェブブラウザに保存された設定画面のパスワードを削除する
ELECOM WRC-300FEBK-Aにおけるクロスサイトリクエストフォージェリの脆弱性
対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnetデーモンが起動されたりする可能性があります。
WRC-300FEBK-S
2016年11月
ELECOM WRC-300FEBK-S における OS コマンドインジェクションの脆弱性
対象製品でUPnP が有効な場合、対象製品にアクセス可能な第三者により任意の OS コマンドが実⾏される可能性があります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
・UPnPの設定を無効にしてご利用ください。
設定画面の「UPnPを有効にする」がチェックされている場合は、チェックを外し「適用」し設定変更してください。※初期設定は「無効」になっております。
詳しい設定変更方法は製品ユーザーズマニュアルの「WAN設定」( 102ページ以降)を参照ください。
https://www.elecom.co.jp/support/manual/network/wireless-lan/router/wrc-300febk-s/wrc-300febk-s_users_manual_v2.pdf
ELECOM WRC-300FEBK-S におけるクロスサイトリクエストフォージェリの脆弱性
対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnet デーモンが起動されたりする可能性があります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
- ・設定画面のログインパスワードを変更する
- ・設定画面にログインしている間、他のウェブサイトにアクセスしない
- ・設定画面での操作終了後は、ウェブブラウザを終了する
- ・ウェブブラウザに保存された設定画面のパスワードを削除する
ELECOM WRC-300FEBK-S における OS コマンドインジェクションの脆弱性
対象製品にアクセス可能な第三者により、任意の OS コマンドが実⾏される可能性があります。
ELECOM WRC-300FEBK-S における SSL サーバー証明書の検証不備の脆弱性
中間者攻撃(man-in-the-middle attack) により通信のレスポンスを改ざんされ、結果として対象製品において任意の OS コマンドが実⾏される可能性あります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
・ファームウェアの「更新ファイルの確認」の実行を行わないでください。
設定画面から「詳細設定」ー「システム設定」ー「ファームウェア更新」ー「手動更新(アップデート)」の「更新ファイルの確認」を実行しないようにしてください。
詳しい設定変更方法は製品ユーザーズマニュアルの「ファームウェアの更新」(163ページ以降)を参照ください。
https://www.elecom.co.jp/support/manual/network/wireless-lan/router/wrc-300febk-s/wrc-300febk-s_users_manual_v2.pdf
NCC-EWF100RMWH2
2017年1月
ELECOM NCC-EWF100RMWH2 におけるクロスサイトリクエストフォージェリの脆弱性
対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnet デーモンが起動されたりする可能性があります。
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
- ・設定画面のログインパスワードを変更する
- ・設定画面にログインしている間、他のウェブサイトにアクセスしない
- ・設定画面での操作終了後は、ウェブブラウザを終了する
- ・ウェブブラウザに保存された設定画面のパスワードを削除する
Androidアプリ
「ELECOM File Manager」
2011年9月
※公開日
Androidアプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性
遠隔の第三者によって、アプリの権限でアクセス可能なディレクトリにおいて、ファイルを作成されたり既存のファイルを上書きされたりする可能性があります。
対象アプリの使用を中止いただき下記の後継アプリのご利用をお願いします。
「ELECOM EXtorage Link」
※お知らせ
https://www.elecom.co.jp/news/info/20201215-01/
JVN#98115035
対策方法
本製品の利用を中止する。
現在、弊社にクレームや被害のご報告はございません。
製品の不具合ではございませんが、発売後年数が経過している製品であり、今後も攻撃を受けるリスクがあるため利用中止をお願いしております。
参考情報