公開日:2015/11/04 最終更新日:2015/11/04

JVNVU#91514956
ZTE 製の複数のルータ製品に脆弱性

概要

ZTE 製ルータ ZXHN H108N R1A ファームウェアバージョン ZTE.bhs.ZXHNH108NR1A.h_PE および ZXV10 W300 ファームウェアバージョン W300V1.0.0f_ER1_PE には複数の脆弱性が存在します。

影響を受けるシステム

  • ZXHN H108N R1A ファームウェアバージョン ZTE.bhs.ZXHNH108NR1A.h_PE
  • ZXV10 W300 ファームウェアバージョン W300V1.0.0f_ER1_PE

詳細情報

情報漏えい (CWE-200) - CVE-2015-7248
ZXHN H108N R1A の複数の情報漏えいの脆弱性により、攻撃者に認証情報やそのほかの機密情報を取得される可能性があります。

  1. ユーザ名とパスワードのハッシュ値は http://[IPアドレス]/cgi-bin/webproc のページソースから確認可能です。
  2. デバイス内のファイル running.cfg にはユーザ名、パスワード、鍵やその他の値が平文で保存されています。この問題は ZXV10 W300 も同様の影響を受けます。
不適切な認証 (CWE-285) - CVE-2015-7249
ZXHN H108N R1A のウェブ管理画面の認証でアクセスを許可されるのは、デフォルト設定では admin のみです。しかし、クライアント側から送信するリクエストのパラメータを細工することで、usersupport など admin 以外の既存のアカウントでのアクセスを許可させ、操作を行うことが可能です。たとえばアカウント support として http://[IPアドレス]/cgi-bin/webproc?getpage=html/index.html&var:menu=maintenance&var:page=accessctrl&var:subpage=accountpsd に直接アクセスすることで user のパスワードを変更することができます。

ディレクトリトラバーサル (CWE-22) - CVE-2015-7250
ZXHN H108N R1A の CGI モジュール webprocgetpage パラメータに任意のファイルパスを設定することで、システム内の任意のファイルを取得可能です。

認証情報がハードコードされている問題 (CWE-798) - CVE-2015-7251
ZXHN H108N R1A の telnet サービスが有効になっている場合、ユーザ名とパスワードの両方を "root" とすることでアクセス可能です。

クロスサイトスクリプティング (CWE-79) - CVE-2015-7252
ZXHN H108N R1A のCGI モジュール webprocerrorpage パラメータには反射型クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

LAN 内の攻撃者によって認証情報や設定情報を取得されたり、認証を回避されたり、任意のファイルにアクセスされたり、当該製品上で任意の操作を実行されたりする可能性があります。設定によっては、LAN 外からこれらの攻撃を受ける可能性があります。

対策方法

アップデートする
ZTE は ZXHN H108N R1A のこれらの脆弱性を修正したファームウェアバージョン ZTE.bhs.ZXHNH108NR1A.k_PE をリリースしています。
ZXHN H108N R1A のユーザは、開発者が提供する情報をもとにファームウェアをアップデートしてください。

ZXV10 W300 は公式サポートが終了しており、今後アップデートがリリースされる予定はありません。

使用を停止する
ZTE は次のように述べています。

The vulnerable W300 router was officially replaced by H108N V2.1 released in July 2014, and the vulnerable H108N was finished upgrading to version ZTE.bhs.ZXHNH108NR1A.k_PE through operator channel that all the vulnerabilities mentioned herein were fixed. ZTE recommends users to contact local operators for upgrade service.

W300 は 2014年7月にリリースされた H108N V2.1 に置き換えられました。H108N は、ここで述べられている全ての脆弱性を修正したファームウェアバージョン ZTE.bhs.ZXHNH108NR1A.k_PE を配布済みです。アップグレードに関しては、当該製品を提供したプロバイダへお問い合わせください。

ZXV10 W300 には本脆弱性の対策を行ったパッチの提供予定はないため、製品の使用停止を強く推奨します。プロバイダから提供された ZXV10 W300 を使用しているユーザは代替機への置き換えについてプロバイダにお問い合わせください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#391604
    ZTE ZXHN H108N R1A routers contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.11.04における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) 隣接ネットワークから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:8.3

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-7248
CVE-2015-7249
CVE-2015-7250
CVE-2015-7251
CVE-2015-7252
JVN iPedia