本日、私が愛用するWiMAXモバイルルーター”Aterm WM3600R”を含むNEC製モバイルルーター(Atermシリーズ)にクロスサイトリクエストフォージェリの脆弱性の存在が発表されました。
- NV13-005: NEC製品セキュリティ情報 - NEC
- 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性 - JVN#59503133
- Aterm製品におけるセキュリティ向上のための対処方法について - サポート技術情報 AtermStation
※クロスサイトリクエストフォージェリについては、クロスサイトリクエストフォージェリ(Wikipedia)参照のこと
1.脆弱性の内容
下記の条件下で、悪意のある第三者が制作したサイトにアクセスした場合、対象製品の設定を変更されたり、製品を再起動されたり、意図しない動作を引き起こされる可能性がある。
条件(下記のいずれか)
- 〔クイック設定Web〕を開いたままブラウザを閉じないで、悪意のある第三者のホームページにアクセスした場合。
- 悪意のある第三者のホームページをアクセスした際、ご利用のAterm製品の〔クイック設定Web〕への"ユーザ名とパスワードの入力画面"が表示され、正しいユーザ名とパスワードを入力してしまった場合。
2.対象機器
今回の発表は、”WM3800Rを除くAterm WiMAXルータ全製品および2011年以前に発売開始したAterm無線LAN親機”が対象です。
影響がない機器は以下の通り。
- AtermWR9300N
- AtermWR8750N
- AtermWR8175N
- AtermWM3800R
影響があるが、既に対応ファームウェアがリリースされていて、アップデート後脆弱性が解消される機種は以下の通り。
- AtermWR9500N
- AtermWR8600N
- AtermWR8370N
- AtermWR8160N
- AtermWM3600R
- AtermWM3450RN
私が利用しているWM3600Rは2012.11.21に対応ファーウェアがリリースされていて、既に導入済みだったのでとりあえず一安心と言ったところ。
3.対応ファームウェアがリリースされていない機種の対応
対応ファームウェアがリリースされていない機種を利用している場合は、下記A),B)の両方の対策をとる必要があります。
A)〔クイック設定Web〕を開いた場合は、できるだけ短い時間で設定を行い、設定終了後にブラウザを必ず速やかに一旦全て閉じる。
B)SafariやAndroid端末から〔クイック設定Web〕を開いた場合は、ブラウザを閉じるだけでは攻撃を受ける可能性があるため、一度ブラウザに保存されている〔クイック設定Web〕のユーザー名とパスワードを削除し、〔クイック設定Web〕ログイン時にユーザー名/パスワードをブラウザに保存しないようにする。