公開日:2024/12/04 最終更新日:2024/12/04

JVN#46615026
アイ・オー・データ製ルーターUD-LT1およびUD-LT1/EXにおける複数の脆弱性
緊急

概要

株式会社アイ・オー・データ機器が提供するルーターUD-LT1およびUD-LT1/EXには、複数の脆弱性が存在します。

影響を受けるシステム

  • UD-LT1 ファームウェア Ver.2.1.8およびそれ以前
  • UD-LT1/EX ファームウェア Ver.2.1.8およびそれ以前

詳細情報

株式会社アイ・オー・データ機器が提供するルーターUD-LT1およびUD-LT1/EXには、次の複数の脆弱性が存在します。

  • 不適切なアクセス権限付加(CWE-732
    • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 6.5
    • CVE-2024-45841
  • OSコマンドインジェクション(CWE-78
    • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
    • CVE-2024-47133
  • ドキュメント化されていない機能(CWE-1242
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値 7.5
    • CVE-2024-52564
なお、開発者によりこれらの脆弱性を悪用した攻撃が確認されています。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該機器のguestアカウントを知る第三者に特定のファイルにアクセスされた場合、認証情報を含む情報を窃取される(CVE-2024-45841)
  • 当該機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される(CVE-2024-47133)
  • 遠隔の第三者によって当該機器のファイアウォールを無効化され、その結果当該機器上で任意のOSコマンドを実行されたり、機器の設定を変更される(CVE-2024-52564)

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

CVE-2024-45841、CVE-2024-47133
開発者によると、これらの脆弱性を修正したファームウェアは、2024年12月18日頃にリリース予定とのことです。

CVE-2024-52564
この脆弱性は、次のバージョンで修正されています。

  • UD-LT1 ファームウェア Ver.2.1.9
  • UD-LT1/EX ファームウェア Ver.2.1.9

ワークアラウンドを実施する
当該機器の設定確認および変更を実施してください。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
株式会社アイ・オー・データ機器 該当製品あり 2024/12/04 株式会社アイ・オー・データ機器 の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

CVE-2024-45841、CVE-2024-47133
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:情報通信研究機構 サイバーセキュリティ研究所 倉盛 剛志 氏、高嶋 香織 氏、倍味 幸平 氏

CVE-2024-52564
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏、神野 亮 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-45841
CVE-2024-47133
CVE-2024-52564
JVN iPedia JVNDB-2024-000125