ヤマハの複数のルータ製品に脆弱性、ファームウェアのアップデートが必要

JPCERTコーディネーションセンター（JPCERT/CC: Japan Computer Emergency Response Team Coordination Center）は11月9日、「JVNVU#91161784: ヤマハ製のルーターにおける複数の脆弱性」において、ヤマハ株式会社が提供している複数のルータ製品に脆弱性が報告されていると伝えた。これらの脆弱性を悪用されると、攻撃者によって影響を受けた製品の設定情報が変更されたり、機密情報が窃取されたりする危険性があるという。

報告されている脆弱性に関する詳細は、ヤマハ、NTT東日本、NTT西日本よりそれぞれ次のアナウンスがリリースされている。

報告されている脆弱性は次のとおり。

悪用された場合に想定される影響は脆弱性によって異なるが、いずれもWeb GUIにログインした状態のユーザーが攻撃者によって作成された悪意のあるページにアクセスすることで被害を受ける。CVE-2021-20843を悪用されると、製品の設定情報が変更される可能性がある。また、CVE-2021-20844を悪用された場合は、製品の設定情報が変更されるほか、機微な情報を窃取される可能性もあるという。

影響を受ける製品およびバージョンは次のとおりとなっている。

いずれの脆弱性も修正版のファームウェアがリリースされており、それぞれ次のバージョンにアップデートすることで脆弱性の影響を回避することが可能となっている。

何らかの理由によるファームウェアをアップデートできない場合は、HTTPサーバー機能を無効にするか、すべてのホストからのWeb GUI設定画面へのアクセスを禁止することでも、脆弱性の影響を回避可能とのことだ。