CentreCOM AR260S V2 における権限昇格の脆弱性

アライドテレシス株式会社
公開 2017.03.30

CentreCOM AR260S v2 には以下の脆弱性が該当致します。


1) 脆弱性の概要
   ユーザーレベルのアカウントを利用して、管理者権限による任意の操作を
   実行される可能性があります。


2) 対象製品
   CentreCOM AR260S v2 の全てのバージョン


3) 影響
   当該製品は初期設定としてユーザーレベルのアカウント「guest」が設定
   されている為、パスワードを変更していない場合、当該脆弱性の攻撃を
   受ける可能性があります。


4) 対策

   以下�@または�Aの対策についてご検討をお願い致します。
   又、以下�Bの対策によって、WAN側からの攻撃を防ぐ事が可能です。

    �@ ユーザーレベル アカウントのパスワードを変更する
      特にアカウント「guest」の初期パスワードは一般に知られている為、
      第三者に知られていないパスワードへ変更して下さい。

    �A 設定管理クライアントを設定する
      クライアントに対して本製品の設定権限を付与し、設定管理クライア
      ントとして登録することができます。
      これによって、指定されていないクライアントからのアクセスを防ぐ
      事が可能です。

    �B ファイアウォール機能を有効にする
      当該製品にはファイアウォール機能(初期設定は有効)が実装されており、
      WAN側からの意図しないアクセスを防ぐ事が可能です。