公開日:2022/08/05 最終更新日:2022/08/05

JVNVU#97753810
muhttpdにおけるディレクトリトラバーサルの脆弱性

概要

muhttpdには、ディレクトリトラバーサルの脆弱性が存在します。

影響を受けるシステム

  • muhttpd バージョン 1.1.5 およびそれ以前
脆弱なバージョンが動作するmuhttpdを搭載した製品については、CERT/CC Vulnerability Note VU#495801 に掲載されているVendor Informationも併せて参照してください。

詳細情報

muhttpdは主としてホームルータなどのCPE(Customer Premise Equipment)で採用されているWebサーバです。バージョン1.1.5およびそれ以前のmuhttpdにはディレクトリトラバーサルの脆弱性(CWE-22)が存在します。
この脆弱性により、機器内に保存されているユーザ名やパスワード、SSIDに関する設定やISP接続情報といった機微な情報が漏えいする可能性があります。
muhttpdはCPE機器のリモート管理を可能にするCGIスクリプトの使用をサポートしています。これにより当該機器がリモート管理可能な状態となっている場合、本脆弱性は遠隔からの攻撃が可能となることに留意してください。

想定される影響

脆弱なバージョンのmuhttpdが動作する機器にアクセス可能な第三者から特別に細工されたHTTPリクエストを送信されることにより、機器内の任意のファイルを窃取される可能性があります。

対策方法

アップデートする
当該機器のベンダが提供する情報を注視し、最新のファームウェアバージョンにアップデートしてください。

ワークアラウンドを実施する
当該製品が遠隔からのアクセスを許可する設定で動作している場合、その設定を無効化しローカルエリアネットワークからのアクセスのみ許可することにより、攻撃経路が限定され被害を軽減させることが可能です。

ベンダ情報

ベンダ リンク
muhttpd muhttpd - SourceForge

参考情報

  1. Arris / Arris-variant DSL/Fiber router critical vulnerability exposure | Derek Abdine
    Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
  2. Vulnerability Note VU#495801
    muhttpd versions 1.1.5 and earlier are vulnerable to path traversal

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia