見出し画像

「NTT東日本「ひかり電話ルータ」「ホームゲートウェイ」に脆弱性、更新を」

かちょー@エンジニア

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性」において、東日本電信電話(NTT東日本)が提供する複数の「ホームゲートウェイ」および「ひかり電話ルータ」に脆弱性が存在するとして、注意を呼び掛けました。この脆弱性を悪用されると、WAN側IPv6アドレスを特定した攻撃者によって設定画面にアクセスされる可能性があります。

https://news.mynavi.jp/techplus/article/20240925-3031218/

                                 出典:TECH+

<脆弱性に関する情報>

脆弱性に関する情報は次のページにまとまっています。ひかり電話ルータ (RT-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
https://web116.jp/ced/support/version/broadband/rt_400mi/
ひかり電話ルータ (PR-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
https://web116.jp/ced/support/version/broadband/pr_400mi/
ひかり電話ルータ (RV-440MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
https://web116.jp/ced/support/version/broadband/rv_440mi/
ホームゲートウェイ/ひかり電話ルータ (PR-500MI,RS-500MI,RT-500MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
https://web116.jp/ced/support/version/broadband/500mi/
ホームゲートウェイ/ひかり電話ルータ (RX-600MI,PR-600MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本
https://web116.jp/ced/support/version/broadband/600mi/
脆弱性の情報(CVE)は次のとおりです。
CVE-2024-47044 - アクセス制限不備の脆弱性

<脆弱性が存在する製品とバージョン>

脆弱性が存在するとされる製品およびバージョンは次のとおりです。ひかり電話ルータ RT-400MI Ver.09.00.0015およびこれ以前のバージョン
ひかり電話ルータ PR-400MI Ver.09.00.0015およびこれ以前のバージョン
ひかり電話ルータ RV-440MI Ver.09.00.0015およびこれ以前のバージョン
ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0004およびこれ以前のバージョン
ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0008およびこれ以前のバージョン

<脆弱性が修正された製品とバージョン>

脆弱性が修正された製品およびバージョンは次のとおりです。ひかり電話ルータ RT-400MI Ver.09.00.0017
ひかり電話ルータ PR-400MI Ver.09.00.0017
ひかり電話ルータ RV-440MI Ver.09.00.0017
ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0007
ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0012
上記の製品は西日本電信電話(NTT西日本)からも提供されているが、NTT西日本ユーザーは脆弱性の影響を受けません。JPCERT/CCは当該製品を利用しているNTT東日本ユーザーに対し、NTT東日本が提供する情報を確認してアップデートを適用するように推奨しています。


NTT東日本で光回線&ひかり電話ご利用の方は至急確認をしてください。
NTTのレンタル機器は定期的な機種交換が無いため、ファームウェアの定期的な確認は必須です。
自動アップデートでアップデートが実施されている場合もありますが、設定を変更していると脆弱性が修正されていない恐れがあります。
ご利用の環境によっては電話機からのアップデートも可能なようです。脆弱性に関する情報のリンクから詳細を確認しましょう。


★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の1つです!



⇒ 専用ページはこちら
★-------------------------------------------★