【重要】無線LANアクセスポイント「STモード」における複数の脆弱性と対処方法について
平素は、弊社製品をご愛用頂きまして誠にありがとうございます。
弊社無線LANアクセスポイントにおきまして、 「STモード」で使用した場合、複数の脆弱性があることが判明いたしました。
(注:弊社無線LANアクセスポイントを「MSモード」で使用した場合は、今回判明した脆弱性はございません)
つきましては、下記の対処方法にしたがって、対処をお願いいたします。なお、保守期間が既に終了している機種につきましては、製品の使用中止を推奨いたします。弊社「サポート基本ポリシー」をご理解いただき、後継機種への移行をご検討ください。
この度は、お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。
何卒ご理解とご協力を賜りますようお願い申し上げます。
<判明した脆弱性について>
脆弱性① OSコマンドインジェクション(CWE-78):CVE-2023-39222
*当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、ウェブインターフェースから実行することが想定されていない任意のOSコマンドを実行される可能性があります
脆弱性② クロスサイト・スクリプティング(CWE-79):CVE-2023-39429
*当該製品のユーザが細工した設定を行った場合、当該製品にログインした他ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります
脆弱性③クロスサイトリクエストフォージェリ(CWE-352):CVE-2023-41086
*当該製品にログインした状態のユーザが、外部の細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる可能性があります
脆弱性④ 認証回避(CWE-288):CVE-2023-42771
*当該製品にアクセス可能な第三者によって、設定ファイルやログファイルをダウンロードされたり、設定ファイルやファームウェアをアップロードされる可能性があります
脆弱性⑤パストラバーサル(CWE-22):CVE-2023-43627
*当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、システムファイルなどの重要情報が改ざんされる可能性があります
<対処方法>
対象製品群1 <保守対象機種>
下表の対象製品をご使用の場合は、対策ファームウェアを弊社ホームページからダウンロードいただき、ファームウェアアップデートをお願いいたします。なお、ファームウェアアップデートを実施せずにご使用になられる場合は、 <軽減策のご案内> に記載した内容の実施をお願いいたします。
|
対象製品 |
脆弱性① |
脆弱性② |
脆弱性③ |
脆弱性④ |
脆弱性⑤ |
対策ファームウェア |
|
ACERA 1310 |
該当 |
- |
- |
該当 |
該当 |
ver.01.41 |
|
ACERA 1320 |
該当 |
- |
- |
該当 |
該当 |
ver.01.41 |
|
ACERA 1210 |
該当 |
該当 |
該当 |
- |
- |
ver.02.40 |
|
ACERA 1150i |
該当 |
該当 |
該当 |
- |
- |
ver.01.40 |
|
ACERA 1150w |
該当 |
該当 |
該当 |
- |
- |
ver.01.40 |
|
ACERA 1110 |
該当 |
該当 |
該当 |
- |
- |
ver.01.80 |
|
ACERA 1020 |
該当 |
該当 |
該当 |
- |
- |
ver.01.90 |
|
ACERA 1010 |
該当 |
該当 |
該当 |
- |
- |
ver.01.90 |
|
ACERA 950 |
該当 |
該当 |
該当 |
- |
- |
ver.01.70 |
|
ACERA 850F |
該当 |
該当 |
該当 |
- |
- |
ver.01.70 |
対象製品群2 <保守終了機種>
下表の対象製品については、保守期間は既に終了しているため、対策として製品の使用中止を推奨いたします。また、新製品への移行をご検討ください。やむを得ずそのままご使用になられる場合は、 <軽減策のご案内> に記載内容の実施をお願いいたします。
|
対象製品 |
脆弱性① |
脆弱性② |
脆弱性③ |
脆弱性④ |
脆弱性⑤ |
保守終了月 |
|
ACERA 900 |
該当 |
該当 |
該当 |
- |
- |
2022年2月 |
|
ACERA 850M |
該当 |
該当 |
該当 |
- |
- |
2022年9月 |
|
ACERA 810 |
該当 |
該当 |
該当 |
- |
- |
2022年4月 |
|
ACERA 800ST |
該当 |
該当 |
該当 |
- |
- |
2022年4月 |
<軽減策のご案内>
全脆弱性共通の軽減策
ログインID/パスワードの変更
* Web設定画面へのログインID、パスワードをデフォルト値から変更してください
* 一般的なパスワード生成ツールにより複雑性の高いパスワードを設定して頂くことを推奨します
無線LANアクセスポイントでのアクセス制限 ※
* MAC アドレスフィルタリング機能にてアクセスを許可する端末のMAC アドレスを制限してください
* 無線セパレータ機能による接続端末の通信制限をしてください
* IPマスカレード設定の有線LANフィルタ機能により有線側からACERAへのアクセスを禁止してください
※アクセス制限方法につきましては、取扱説明書をご覧ください
ネットワーク機器でのアクセス制限
* ネットワーク機器によりWAN 側および LAN 側でアクセス許可しているIPセグメント以外からのアクセスを禁止してください
脆弱性③ クロスサイトリクエストフォージェリ(CWE-352)の軽減策
使用上のご注意
* Web設定画面へログインしている間、他のWebサイトにアクセスしないでください
* Web設定画面の操作終了後は、Webブラウザを終了してください
<参考情報>
https://jvn.jp/vu/JVNVU94497038/
株式会社フルノシステムズ サービスセンター
下記窓口までお問い合せ下さい。
- 【問合せ先】
- 〒662-8580 兵庫県西宮市芦原町9-52
TEL:0798-63-1977 FAX:0798-63-1974