公開日:2025/02/28 最終更新日:2025/02/28

JVNVU#96398949
センチュリー・システムズ製産業用ルータ(FutureNet ASシリーズ)およびプロトコル変換器(FutureNet FAシリーズ)における複数の脆弱性

概要

センチュリー・システムズ株式会社が提供する産業用ルータ(FutureNet ASシリーズ)およびプロトコル変換器(FutureNet FAシリーズ)には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-24846

  • FutureNet AS-250/S ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/F-SC ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/F-KO ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/NL ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/KL ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/KL Rev2 ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-250/L ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-M250/L ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-M250/KL ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-M250/NL ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-P250/NL ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-P250/KL ファームウェア Version 2.6.4 およびそれ以前
  • FutureNet AS-210/U4 ファームウェア Version 2.6.4 およびそれ以前
CVE-2025-25280
  • FutureNet AS-250/S ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/F-SC ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/F-KO ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/NL ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/KL ファームウェア Version 1.14.0 およびそれ以前
  • FutureNet AS-250/KL Rev2 ファームウェア Version 2.6.6 およびそれ以前
  • FutureNet AS-250/L ファームウェア Version 2.6.6 およびそれ以前
  • FutureNet AS-M250/L ファームウェア Version 3.0.0 およびそれ以前
  • FutureNet AS-M250/KL ファームウェア Version 3.0.0 およびそれ以前
  • FutureNet AS-M250/NL ファームウェア Version 3.0.0 およびそれ以前
  • FutureNet AS-P250/NL ファームウェア Version 2.6.6 およびそれ以前
  • FutureNet AS-P250/KL ファームウェア Version 2.6.6 およびそれ以前
  • FutureNet AS-210/U4 ファームウェア Version 2.6.6 およびそれ以前
  • FutureNet FA-210 ファームウェア Version 1.1.9 およびそれ以前
  • FutureNet FA-215 ファームウェア Version 1.0.1 およびそれ以前

詳細情報

センチュリー・システムズ株式会社が提供する産業用ルータ(FutureNet ASシリーズ)およびプロトコル変換器(FutureNet FAシリーズ)には、次の複数の脆弱性が存在します。

  • 認証回避(CWE-288
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
    • CVE-2025-24846
  • バッファオーバーフロー(CWE-120
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
    • CVE-2025-25280

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 細工されたリクエストにより、認証なしでMACアドレス等の機器情報を窃取される(CVE-2025-24846)
  • 細工されたリクエストにより、当該機器を再起動される(CVE-2025-25280)

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、本脆弱性の影響を回避する方法を提供しています。

現行製品の利用を停止し、後続製品に移行する
本件の影響を受ける製品群の一部は、すでにサポートが終了しています。
(参考:販売終息製品 | 製品情報
開発者は、これらサポートを終了した製品の使用停止と後続製品への移行を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
センチュリー・システムズ株式会社 該当製品あり 2025/02/28 センチュリー・システムズ株式会社 の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

これらの脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏、神野 亮 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-24846
CVE-2025-25280
JVN iPedia