【セキュリティまとめ】2021年4月16日版 OpenSSLやAtermに複数の脆弱性

インターステラの阿形です。
相変わらず毎週更新にできていませんが、3週間空けての投稿です。

今回は一般の方にも関係のある脆弱性情報がいくつか目についたので取り上げていきます。
今回は以下のものを取り上げます。

・OpenSSL に複数の脆弱性
・複数の Aterm 製品における複数の脆弱性
・Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性
・スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性

OpenSSL に複数の脆弱性

JVNVU#92126369: OpenSSL に複数の脆弱性

OpenSSLに複数の脆弱性があり、最悪の場合マシンをクラッシュさせられたり、DoS攻撃を受ける、あるいは不正なCA証明書を受け入れてしまうなどの影響があります。
対象となるのはOpenSSL 1.1.1系の全てで、対処方法は最新版へのアップデートを行うことで対応できます。
なお、1.1.1以前のバージョンでも同様の問題が発生する可能性があるので、こちらも最新版へのアップデートが推奨されています。
比較的深刻度の高い問題ですので、可能な限り早くアップデートを行ったほうが良いでしょう。

複数の Aterm 製品における複数の脆弱性、Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性

JVN#67456944: 複数の Aterm 製品における複数の脆弱性

JVN#29739718: Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性

報告としては2つに分かれていますが、同じAterm製品ですのでまとめていきます。
いずれの脆弱性もOSコマンドインジェクションなどの比較的深刻度の高い問題となっています。(機種ごとに深刻度に多少違いがあります)
対象は以下の機種です。

Aterm WG1900HP2 ファームウェア Ver.1.3.1 およびそれ以前
Aterm WG1900HP ファームウェア Ver.2.5.1 およびそれ以前
Aterm WG1800HP4 ファームウェア Ver.1.3.1 およびそれ以前
Aterm WG1800HP3 ファームウェア Ver.1.5.1 およびそれ以前
Aterm WG1200HS3 ファームウェア Ver.1.1.2 およびそれ以前 - CVE-2021-20680のみ影響
Aterm WG1200HS2 ファームウェア Ver.2.5.0 およびそれ以前
Aterm WG1200HP3 ファームウェア Ver.1.3.1 およびそれ以前
Aterm WG1200HP2 ファームウェア Ver.2.5.0 およびそれ以前
Aterm W1200EX ファームウェア Ver.1.3.1 およびそれ以前
Aterm W1200EX-MS ファームウェア Ver.1.3.1 およびそれ以前
Aterm WG1200HS ファームウェア すべてのバージョン
Aterm WG1200HP ファームウェア すべてのバージョン
Aterm WF800HP ファームウェア すべてのバージョン
Aterm WF300HP2 ファームウェア すべてのバージョン
Aterm WR8165N ファームウェア すべてのバージョン
Aterm W500P ファームウェア すべてのバージョン
Aterm W300P ファームウェア すべてのバージョン

Aterm WF1200CR ファームウェア Ver1.3.2 およびそれ以前
Aterm WG1200CR ファームウェア Ver1.3.3 およびそれ以前
Aterm WG2600HS ファームウェア Ver1.5.1 およびそれ以前
Aterm WX3000HP ファームウェア Ver1.1.2 およびそれ以前

安全のため、早めにアップデートをしておいたほうが良いでしょう。
なお、WG1800HP3はまだアップデートは提供されていません。後日提供される予定とのことなので、提供され次第アップデートを行いましょう。

WG1200HS、WG1200HP、WF800HP、WF300HP2、WR8165N、W500P、W300Pについては、アップデートが提供される予定がないので、可能な限り、新しい機種への入れ替えを検討されたほうが良いでしょう。
今回の脆弱性については設定によりある程度回避できるようですが、今後同様のことが発生したときのため、早めに入れ替えておいたほうが良いと思います。

スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性

スマートフォンアプリ「ぐるなび」で、フィッシング詐欺などに利用される可能性のある脆弱性が見つかっています。
対象となるのは以下のバージョンです。

・Android アプリ「ぐるなび」 ver.10.0.10 およびそれ以前
・iOS アプリ「ぐるなび」 ver.11.1.2 およびそれ以前

スマートフォンアプリの場合、通常自動的にアップデートするようになっていると思いますが、何らかの理由でアップデートしていない方はアップデートを行っておきましょう。

今回のまとめは以上です。

以前にもAtermの脆弱性がありましたが、また今回も比較的深刻なものが出てきているようです。

家庭向け機器は脆弱性が放置されがちなため、攻撃者に狙われやすくなっています。自宅のネットワークに侵入されたり、知らない間に他のサーバーなどの攻撃の踏み台に利用されるといったこともあります。自動アップデートの機能を持っている機種では、自動アップデートを有効にしておくようにすることで、被害を最小限にすることができます。一度設定を見直してみてはいかがでしょうか。