1: マスク剥ぎ(大阪府)@\(^o^)/ 2014/12/26(金) 16:03:00.77 ID:QDMfGUac0.net
Check Point Software Technologiesは、一般家庭や小規模企業で広く使用されているルーター製品に深刻な脆弱性「CVE-2014-9222」を発見したと発表した。
Check Pointが「Misfortune Cookie」と呼ぶこの脆弱性を悪用すると、外部からルーター製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。
Check Pointでは、Misfortune Cookieは最近見つかった中では最も広範囲に影響する脆弱性の1つで、現時点でインターネットに接続された世界中の端末1200万台以上が容易に攻撃可能な状態だとしている。
脆弱性が見つかったのは、AllegroSoftが提供する組み込みのウェブサーバープログラム「RomPager」で、多くの場合、このプログラムはデバイス内蔵のファームウェアに組み込まれている。 脆弱性は、Allegro RomPager 4.34より前のバージョンを実装したファームウェアに影響がある。
脆弱性については、AllegroSoftが2005年に修正しているが、複数のルーターのファームウェアには、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerが使用されているという。
Check Pointでは、脆弱性が存在する製品のリストを公表している。ASUS、D-Link、Edimax、Huawei、TP-Link、ZTE、ZyXELといったメーカーの多数の製品が対象となっており、リストに多く挙がっているのはADSLモデム製品だ。また、かなり古い製品も多い。
例えば、日本のメーカーの製品としては、アイ・オー・データ機器の「NP-BBRsx」と、バッファローの「BLR-TX4L」がリストにあるが、NP-BBRsxは2002年発売、BLR-TX4Lは2001年発売の製品だ。
http://internet.watch.impress.co.jp/docs/news/20141226_682100.html
Check Point機器リスト(PDF)
続きを読む