アライドテレシス株式会社からの情報
脆弱性識別番号:JVN#48135658
脆弱性タイトル:複数のルータ製品におけるクリックジャッキングの脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
下記に記載されている製品が当該脆弱性に該当致します。
1) 対象製品
本脆弱性は下記製品群の全てのバージョンで該当致します。
・スイッチ
Allidware Plus 搭載スイッチ [x Series]
8724SL Series、9424T、9048XL
GS900M V2 Series、GS900SS Series、FS900M Series、IA810M
・ルーター
ARルーター(ARX640Sを除く)
AR260Sv2
・無線
アクセスポイント [TQ Series]
UWC
・マネージメント
Swim Manager、Sky Marshal、
Alliedview NMS SE、Alliedview NMS EE、
2) 影響
本脆弱性では、ユーザーのクリック操作を悪意あるサイトによって誘導し、
ユーザー自身に設定変更を行わせるものになります。
ケース①
対象
・スイッチ:Allidware Plus 搭載スイッチ [x Series]、
8724SL Series、9424T、9048XL、
GS900M V2 Series、GS900SS Series、FS900M Series、IA810M
・ルーター:ARルーター(ARX640Sを除く)、AR260Sv2
・無線:アクセスポイント [TQ Series]
影響の具体例
HTTPを使用している場合、本脆弱性によって対象製品で意図していない
設定変更や再起動を行ってしまう危険性があります。
それに伴い、ネットワーク通信不可などが発生する可能性があります。
ケース②
対象
・無線:UWC
・マネージメント:Swim Manager、Sky Marshal、
Alliedview NMS SE、Alliedview NMS EE
影響の具体例
HTTPを使用している場合、本脆弱性によって対象製品で意図していない
設定変更を行ってしまう危険性があります。
また、対象機器を管理できなくなる可能性や管理対象機器の意図していない
設定変更、再起動を行ってしまう可能性があります。
3) 対策案
WEB操作画面へのアクセスを管理者のみに制限し、管理者は機器への
ログイン状態を維持したままにせず、他のWEBサイトへの接続は必ず
ログアウト後に行う事を推奨致します。
※HTTP通信を無効化している場合や、アクセス制限を行っている場合は
本脆弱性による影響は受けません。無効化やアクセス制限の設定方法
については製品ごとのコマンドリファレンスを参照してください。
※HTTP通信の無効化が可能な製品
・スイッチ:Allidware Plus 搭載スイッチ [x Series]、
8724SL Series、9048XL、
GS900M V2 Series、GS900SS Series、FS900M Series、IA810M、
・ルーター:ARルーター(ARX640Sを除く)
・無線:アクセスポイント [TQ Series](TQ2403 Seriesを除く)
アクセスポイント [TQ Series] につきまして、HTTPを無効にした
場合、再度有効化するにはハードウェアリセットが必要になります。
また、HTTP無効かつリセットボタン無効の両設定を行った場合、
設定変更を行うことができなくなるためご注意下さい。
その場合はサポートへお問い合わせ下さい。
4) 回避策
回避策A
対象
・スイッチ:Allidware Plus 搭載スイッチ [x Series]、
8724SL Series、9424T、9048XL、
GS900M V2 Series、GS900SS Series、FS900M Series、IA810M
・ルーター:ARルーター(ARX640Sを除く)、AR260Sv2
・無線:UWC、アクセスポイント [TQ Series]
・マネージメント:Alliedview NMS EE
本製品では機能による回避策はございません。
そのため、3) 対策案で記載されております運用方法による対策をお願い致します。
回避策B
対象
・マネージメント:Swim Manager、Sky Marshal、Alliedview NMS SE
マイクロソフト社のIISを使用しているため、IISのカスタムHTTPヘッダーの追加設定で、
「X-FRAME-OPTIONS」を追加することで本脆弱性による攻撃を防ぐことが可能です。
以上
