2016年6月27日月曜日

NTT東西の「ひかり電話ルーター」に脆弱性

1. 概要

弊社が提供する一部のひかり電話対応機器のWeb設定画面に脆弱性が存在します。


2. 影響を受けるシステム

ひかり電話対応機器(PR-400MI/RT-400MI/RV-440MI) バージョン07.00.1005およびそれ以前


3. 詳細情報

特定の利用条件下において、OSコマンドインジェクションの脆弱性、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。


4. 想定される影響

特定のWeb設定画面において意図的にリクエストを改ざんすることで任意のOSコマンドが実行される可能性があります。
パスワード未設定の状態で悪意のあるサイトにアクセスすると利用者が意図しない任意のログインパスワードへ変更されてしまう可能性があります。


5. 対策方法

当社が提供する情報をもとに最新版のファームウェアへアップデートしてください。

ご利用中のひかり電話対応機器の前面に記載されている機種名をご確認いただき、それぞれのリンクからアップデートをお願いします。
■PR-400MIの場合
  http://www.ntt-west.co.jp/kiki/download/flets/pr400mi/index.html
■RT-400MIの場合
  http://www.ntt-west.co.jp/kiki/download/flets/rt400mi/index.html
■RV-440MIの場合
  http://www.ntt-west.co.jp/kiki/download/flets/rv440mi/index.html

※上記内容は、NTT西日本のお知らせサイトから。




 基本的に、ファームウェアは既定では自動更新となっているそうですが、電話機から特定の入力を行うことで更新できるほか、ウェブブラウザーの設定画面からも更新できます。
 更新が本当にできているのか、心配な方は、ファームウェアのバージョンを自身で確認することが可能で、ホームゲートウェイ(HGW)にログインすると表示される「ファームウェアバージョン」から確認できます。

※ホームゲートウェイへのログイン方法が分からない方は以下のサイトをご確認ください。
※ログインIDやパスワードは、設定資料を確認いただく必要がございます。

上記情報の詳しい内容は、以下のサイトをご確認ください。
---
「PR-400MI、RT-400MI、RV-440MI」をご利用のお客様へ
http://www.ntt-west.co.jp/kiki/support/flets/hgw4_mi/160627.html

0 件のコメント:

コメントを投稿