KDDIのホームゲートウェイHGW BL1500HMに複数の脆弱性、更新を
マイナビニュース2024年3月27日(水)7時43分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月22日、「JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性」において、KDDIのホームゲートウェイ「HGW BL1500HM」に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、隣接するネットワーク上の認証されていない攻撃者によりSSH経由でシェルに不正アクセスされる可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
ホームゲートウェイ [HGW BL1500HM]ファームウェア情報 | モデム・ホームゲートウェイの設定 | au
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2024-21865 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりSSH経由でシェルに不正アクセスされる可能性がある
CVE-2024-28041 - ネットワークに隣接する認証されていない攻撃者に任意のコマンドを実行される可能性がある
CVE-2024-29071 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりシステムの設定を変更される可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
HGW BL1500HM Ver 002.001.013およびこれ以前のバージョン
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
HGW BL1500HM Ver 002.001.019
JPCERT/CCは開発者の提供する情報に基づきアップデートを適用することを推奨している。なお、KDDIは対象製品に自動ファームウェアアップデート機能が搭載されており、インターネット回線に接続し続けることで自動的にアップデートされると説明している。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
ホームゲートウェイ [HGW BL1500HM]ファームウェア情報 | モデム・ホームゲートウェイの設定 | au
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2024-21865 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりSSH経由でシェルに不正アクセスされる可能性がある
CVE-2024-28041 - ネットワークに隣接する認証されていない攻撃者に任意のコマンドを実行される可能性がある
CVE-2024-29071 - 脆弱な認証情報を使用する脆弱性。ネットワークに隣接する認証されていない攻撃者によりシステムの設定を変更される可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
HGW BL1500HM Ver 002.001.013およびこれ以前のバージョン
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
HGW BL1500HM Ver 002.001.019
JPCERT/CCは開発者の提供する情報に基づきアップデートを適用することを推奨している。なお、KDDIは対象製品に自動ファームウェアアップデート機能が搭載されており、インターネット回線に接続し続けることで自動的にアップデートされると説明している。
「KDDI」をもっと詳しく
「KDDI」のニュース
-
KDDI、AIを活用するビジネスプラットフォーム「WAKONX」始動5月10日19時37分
-
povo2.0の1GB(7日間)トッピングが半額に、5月14日まで5月10日10時58分
-
povo2.0、ローソンお買物券300円分付きの期間限定0.3GBトッピング5月10日10時39分
-
ドコモ、KDDI、ソフトバンクが新型「iPad Pro」「iPad Air」を5月15日に発売5月9日18時8分
-
上位入賞目指してAWS GameDay for KDDI Groupに挑んできました!5月9日15時0分
-
au/UQ mobile、「Redmi Note 13 Pro 5G」を5月16日に発売 - 41,800円、67W急速充電器の特典付き5月9日14時6分
-
au/UQ mobileから「Galaxy A55 5G」5月下旬に発売、価格は77,000円5月8日22時43分
-
au、iPad Pro(M4)/iPad Air(M2)の価格を発表 - 「スマホトクするプログラム」も利用可能5月8日21時33分
-
KDDIとソフトバンク、5G網の共同構築を各社10万局規模に拡大へ5月8日18時19分
-
ソフトバンクとKDDI、5Gネットワーク共同構築の協業範囲を拡大 設備投資コストは削減5月8日15時53分