セキュリティ情報
AX-VU2025-01
「AX620Rにおける複数の脆弱性」に関するご報告
AX第1版 2025-1-6
平素より,弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に,AX620Rにおける複数の脆弱性について報告致します。
出典
Japan Vulnerability Notes JVN#53958863
https://jvn.jp/jp/JVN53958863/
CVE-2024-11013:コマンドインジェクション
CVE-2024-11014:クロスサイトリクエストフォージェリ
概要
AX620RのWebコンソール機能において、コマンドインジェクションおよびクロスサイトリクエストフォージェリの脆弱性が存在します。
影響
弊社製品では、AX620Rでのみ本脆弱性の影響を受けます。
その他の製品では影響を受けません。
<AX620R>
-
・次の影響があります。
- コマンドインジェクションによる影響
- ログインしたユーザがWebコンソールのメッセージを改ざんし装置に送信することで、対象装置のコマンドラインにおける任意のコマンドを実行できる可能性があります。
- クロスサイトリクエストフォージェリによる影響
- 細工したURLなどをクリックさせることで、対象装置の表示コマンドを実行できる可能性があります。
-
・影響を受ける条件
1.WEBコンソールを有効にしている
-
・機種、ソフトウェアバージョン別影響
機種名 バージョン 影響 AX620R-2025
AX620R-2105
AX620R-2106
AX620R-2107
AX620R-2215
AX620R-2235
AX620R-3110
AX620R-3315Ver.9.2.20~Ver.10.9.11の全バージョン 影響を受けます。
回避方法
<AX620R>
次の回避策をお願いいたします。
Webコンソールを使用せず、コマンドラインベースで管理する。
no http-server ip enable を投入
上記の回避策を適用できない場合、以下のいずれかの方法で本脆弱性を軽減させてください。
- フィルタ機能により、接続元をIPアドレス、MACアドレスで制限する。
- 対象装置のIPアドレスを変更し、かつTCPポート:80または443のポート番号を予想されにくい番号に変更する。
- Webコンソールにアクセスするguest権限のユーザを登録することにより、すべての画面表示に認証を必要とさせる。
対策
本脆弱性の対策版ソフトウェアの適用をお願いします。
No | 装置シリーズ名 | 対象ソフトウェア製品 | 対策バージョン | 対策版リリース日 |
---|---|---|---|---|
1 | AX620R | 機種、バージョン、機能は【影響】を参照 | Ver 10.10.27以降 Ver 10.9.20以降 |
リリース済 *1 |
- AX620R-2025、AX620R-2105、AX620R-3110においては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします。
なお,セキュリティ対応に関して正確な情報を提供するよう努力しておりますが,セキュリティ問題に関する情報は変化しており,記載している内容を予告なく変更することがございますので,あらかじめご了承ください。情報ご参照の際には,常に最新の情報をご確認いただくようお願いします。