Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性

掲載番号:NV13-005脆弱性情報識別番号:JVN#59503133

概要

Aterm製品のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。ユーザが当該製品にログインした状態で悪意あるページを読み込んだ場合、設定の初期化や再起動をさせられる可能性があります。

対象製品

Atermシリーズ

影響の有無

影響あり

対象となる製品のバージョン

WM3800Rを除くAterm WiMAXルータ全製品および2011年以前に発売開始したAterm無線LAN親機

以下の製品には影響がありません。

AtermWR9300N
AtermWR8750N
AtermWR8175N
AtermWR8165N　（2013/10/22に追加しました）
AtermWM3800R

対処方法

[回避策]

対応ファームウェアが提供されない製品は、下記URLの「【2】対応ファームウェアが提供されていない製品について」および「【3】ブラウザにSafariをご利用のお客様について」を行ってください。

[対策]

次の製品は対応ファームウェアにバージョンアップしてください。

AtermWR9500N　（2012/07/12に対応ファームウェアリリース）
AtermWR8700N　（2013/10/09に対応ファームウェアリリース） *
AtermWR8600N　（2012/05/31に対応ファームウェアリリース）
AtermWR8370N　（2012/08/31に対応ファームウェアリリース）
AtermWR8170N　（2013/10/09に対応ファームウェアリリース） *
AtermWR8160N　（2012/05/31に対応ファームウェアリリース）
AtermWM3600R　（2012/11/21に対応ファームウェアリリース）
AtermWM3450RN　（2012/11/21に対応ファームウェアリリース）

* 2013/10/22にAtermWR8700NとAtermWR8170Nを追記しました。

詳細は下記URLの「【1】ファームウェアのバージョンアップ」に掲載しています。

Aterm製品におけるセキュリティ向上のための対処方法について
http://121ware.com/product/atermstation/technical/2012/tech0531.html

参考情報

Japan Vulnerability Notes JVN#59503133:

複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN59503133/

謝辞

本脆弱性の発見者である

木村陽一氏、熊谷裕志氏、株式会社トライコーダ　上野宣氏

に感謝いたします。

更新情報

2013/10/22: Atermシリーズを更新しました。NEW
: 対象となる製品のバージョンに影響のない製品（AtermWR8165N）を追加しました。NEW
: 対処方法にファームウェアバージョンアップ対象となる製品（AtermWR8700N、AtermWR8170N）を追加しました。NEW
2013/03/19: Atermシリーズを登録しました。NEW

サイト内の現在位置を表示しています。