CentreCOM AR260S V2 における複数の脆弱性について
アライドテレシス株式会社
公開 2022.08.29
弊社取り扱い製品のうち、以下の製品が脆弱性に該当致します。
1) 脆弱性の概要
・GUI設定画面におけるOSコマンドインジェクションの問題 (CWE-78)
・Telnet接続用の認証情報がハードコードされている問題 (CWE-798)
・Telnet機能から実行できるドキュメントに記載されていない隠しコマンドが存在する問題
(CWE-912)
・Telnet機能におけるOSコマンドインジェクションの問題 (CWE-78)
2) 対象製品
CentreCOM AR260S V2 の Ver.3.3.7 より前のファームウェアバージョン
3) 影響
遠隔の第三者によって、任意のOSコマンドを実行される可能性があります。
4) 対策
CentreCOM AR260S V2 を Ver.3.3.7以降にバージョンアップして下さい。
アップデート後はすべてのユーザーアカウントのパスワードを変更してください。
5) 回避策
以下の回避策を実施することで、本脆弱性の影響を軽減することが可能です。
・すべてのユーザーアカウントのパスワードをデフォルトから変更する
第三者にログインされないよう、すべてのユーザーアカウントのパスワードを変更して
ください。
・Telnetを有効にしない
当該製品ではTelnet機能の有効/無効の設定が可能ですが、未サポートのためデフォルトで
無効になっています。Telnetはメンテナンス専用の機能であり、一般のお客様はご利用に
なれませんので、有効化しないでください。
・ファイアウォール機能を使用する
当該製品にはファイアウォール機能が実装されており、デフォルトで有効になっています。
外部からの意図しないアクセスを防ぐため、ファイアウォール機能を使用してください。
以上
|