「UD-LT1」および「UD-LT1/EX」における複数の脆弱性について(JVN#46615026)
【概要】
株式会社アイ・オー・データ機器が提供する「UD-LT1」および「UD-LT1/EX」は、ハイブリッド LTE ルーターです。
「UD-LT1」および「UD-LT1/EX」には、不適切なアクセス権限付加(CVE-2024-45841)、OS コマンドインジェクション(CVE-2024-47133)およびドキュメント化されていない機能(CVE-2024-52564)の脆弱性が存在します。
本脆弱性を悪用された場合、認証情報を窃取されたり、任意の OS コマンドを実行されたり、ファイアウォールを無効化され機器の設定を変更されたりする可能性があります。
同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートおよび、ワークアラウンドを実施してください。
【本脆弱性の深刻度】
脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。
- CVSS v3に基づいた深刻度と基本値について
-
CVE-2024-52564
本脆弱性のCVSS v3深刻度 重要
本脆弱性のCVSS v3基本値 7.5
CVE-2024-47133
本脆弱性のCVSS v3深刻度 重要
本脆弱性のCVSS v3基本値 7.2
CVE-2024-45841
本脆弱性のCVSS v3深刻度 警告
本脆弱性のCVSS v3基本値 6.5
【対象】
次の製品が対象です。
--- 2024年 12 月 18 日更新 ---
CVE-2024-45841、CVE-2024-47133
● UD-LT1 ファームウェア Ver.2.1.9およびそれ以前
● UD-LT1/EX ファームウェア Ver.2.1.9およびそれ以前
CVE-2024-52564
● UD-LT1 ファームウェア Ver.2.1.8およびそれ以前
● UD-LT1/EX ファームウェア Ver.2.1.8およびそれ以前
【対策】
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
--- 2024年 12 月 18 日更新 ---
これらの脆弱性は、次のバージョンで修正されています。
● UD-LT1 ファームウェア Ver.2.2.0
● UD-LT1/EX ファームウェア Ver.2.2.0
CVE-2024-45841、CVE-2024-47133
開発者によると、これらの脆弱性を修正したファームウェアは、2024年12月18日頃にリリース予定とのことです。
CVE-2024-52564
この脆弱性は、次のバージョンで修正されています。
- UD-LT1 ファームウェア Ver.2.1.9
- UD-LT1/EX ファームウェア Ver.2.1.9
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
ワークアラウンドを実施する
当該機器の設定確認および変更を実施してください。
詳細は、開発者が提供する情報を確認してください。
【参考情報】
- 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
出典:独立行政法人情報処理推進機構(IPA)