無線LANルータ「Aterm」に複数の脆弱性、ファームウェアの更新を

IPA（独立行政法人情報処理推進機構）および、JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）は4月9日、NECプラットフォームズの無線LANルータ「Aterm」製品に複数の脆弱性があると注意を呼びかけた。脆弱性の詳細は、IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN」で公開されている。

複数のAterm製品で、Webブラウザ上で任意のスクリプトを実行される恐れがある「クロスサイト・スクリプティング」や、外部からのOSコマンドが実行される恐れがある「OSコマンド・インジェクション」の脆弱性が存在するという。

対象製品は下記の通り。このうち、WG1900HP2、WG1900HP、WG1800HP4、WG1200HS3、WG1200HS2、WG1200HP3、WG1200HP2、W1200EX、W1200EX-MSについては、脆弱性を修正した最新ファームウェアが提供されているため、早期に適用したい。また、WG1800HP3の最新ファームウェアは後日の提供となる。

上記のうち、WG1200HS、WG1200HP、WF800HP、WF300HP2、WR8165N、W500P、W300Pについては修正ファームウェアが提供されない。このため、管理者パスワードとWi-Fiの暗号化キーを堅牢なものに変えたり、UPnP機能を無効にしたりするなどの回避策が推奨されている。

このほか、Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS、Aterm WG2600HSにもOSコマンドインジェクションなどの脆弱性が、Aterm WG2600HSおよびWX3000HPにも、LAN側につないだ機器が外部ネットワークからアクセスされる恐れがある「アクセス制限不備」の脆弱性があると発表された。これら製品についても、脆弱性を修正した最新ファームウェアが提供されており、アップデートが推奨されている。