TR-7W、RTR-5W、WDR-3、WDR-7、WS-2における脆弱性発見について

すでに販売終了しております弊社下記製品ならびにエスペックミック株式会社様向けOEM製品について、下記内容の脆弱性が発見されました。
内容をご確認の上、対象製品の利用停止、もしくは運用環境の見直しをお願いいたします。

対象製品

株式会社ティアンドデイ製品

• TR-71W/72W: すべてのファームウェアバージョン
• RTR-5W: すべてのファームウェアバージョン
• WDR-7: すべてのファームウェアバージョン
• WDR-3: すべてのファームウェアバージョン
• WS-2: すべてのファームウェアバージョン

エスペックミック株式会社向けOEM製品

• RT-12N/RS-12N: すべてのファームウェアバージョン
• RT-22BN: すべてのファームウェアバージョン
• TEU-12N: すべてのファームウェアバージョン

JPCERTにより弊社に連絡があった脆弱性

• サーバセキュリティのクライアント側での実施(CVE-602) [CVE-2023-22654]
• 不適切な認証(CWE-287) [CVE-2023-27388]
• 重要な機能に対する認証の欠如(CWE-306) [CVE-2023-23545]
• クロスサイトリクエストフォージェリ(CWE-352) [CVE-2023-27387]

脆弱性の影響範囲

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• [CVE-2023-22654] 対象製品にログインした状態のウェブブラウザ上で、任意のスクリプトを実行されてしまう脆弱性があります。
• [CVE-2023-27388] 対象製品にアクセスが可能な攻撃者により、対象製品に正規ユーザとしてログインされてしまう脆弱性があります。
• [CVE-2023-23545] 対象製品にアクセスが可能な攻撃者により、対象製品に認証無しで設定を改ざんされてしまう脆弱性があります。
• [CVE-2023-27387] 対象製品にログイン済みのユーザが、細工されたページにアクセスした場合に意図していない操作を対象機器に対して実行させられてしまう脆弱性があります。

脆弱性への対応

上記対象製品はすべて2014年までに販売終了しています。

対象製品の一部については、本脆弱性対応とは異なるセキュリティ機能を向上させたアップデートが存在しますが、恒久的な対策としては製品の使用停止をお願いいたします。

なお、対象製品の使用停止までの間は、下記対策を実施することを推奨します。

脆弱性による影響を軽減する方法

• 対象製品を設置しているネットワークについて、信頼できる閉域網で構成して安全なアクセスを実現する。
• 対象製品のネットワークの上位で、IPアドレス制限などを用いることでアクセス可能な端末を固定する。
• 対象製品のネットワークの上位で、WAFを導入して攻撃をフィルタする。

セキュリティ機能を向上させたアップデートがある製品

※こちらのアップデート版を利用しても、本脆弱性は存在する状態となります。

株式会社ティアンドデイ製品: TR-71W/72W
エスペックミック株式会社向けOEM製品: RT-12N/RS-12N