複数のエレコム製無線LANルーターに脆弱性、FWアップデートにより対処可能(2021/11)

エレコム WRC-2533GST2

エレコム株式会社は2021年11月30日、複数の同社製無線LANルーターにおける脆弱性に関する情報を公開しました。

また、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)からも同日付で本件に関する脆弱性レポート JVN#88993473およびJVNVU#94527926が公開されています。

無線LANルーターのセキュリティ向上のためのファームウェアアップデートのお願い - 最新情報 - セキュリティ情報|ELECOM

JVN#88993473: 複数のエレコム製 LAN ルーターにおける複数の脆弱性

JVNVU#94527926: エレコム製ルータにおける複数の脆弱性

スポンサーリンク

今回公表された脆弱性の影響を受ける製品は以下の通りです。全機種がIEEE 802.11ac(Wi-Fi 5)世代のモデルでありIEEE 802.11ax(Wi-Fi 6)対応モデルは含まれていませんが、エレコムのサイトでは現行製品として扱われているWRC-1167GST2を含み、多数の製品が影響を受ける状態となっています。

  • WRH-733Gシリーズ(WRH-G733GBK / WRH-G733GWH)
    • バッファオーバーフロー(CVE-2021-20852)
    • OSコマンドインジェクション(CVE-2021-20853 / CVE-2021-20854)
    • クロスサイトスクリプティング(CVE-2021-20855 / CVE-2021-20856)
  • WRC-2533GHBK-I
    • クロスサイトスクリプティング(CVE-2021-20857 / CVE-2021-20858)
  • WRC-1167GST2 / WRC-1167GST2A / WRC-1167GST2H
  • WRC-2533GS2シリーズ(WRC-2533GS2-B / WRC-2533GS2-W)
  • WRC-1750GS
  • WRC-1750GSV
  • WRC-1900GST
  • WRC-2533GST
  • WRC-2533GSTA
  • WRC-2533GST2
  • WRC-2533GST2SP(ビックカメラグループ向け)
  • WRC-2533GST2-G(エレコム公式サイトに製品情報なし)
  • EDWRC-2533GST2
    • OSコマンドインジェクション(CVE-2021-20859 / CVE-2021-20863)
    • クロスサイトリクエストフォージェリ(CVE-2021-20860)
    • アクセス制限不備(CVE-2021-20861 / CVE-2021-20862 / CVE-2021-20864)

2021年7月に脆弱性が明らかにされた製品群では使用中止および後継製品への移行が推奨されていましたが、今回はすべてのモデルを対象に対策版ファームウェアが公開されました。WRH-733Gシリーズはファームウェア Ver.1.05以降の手動インストール、その他の機種では自動更新により対策版ファームウェアへのアップグレードが行われます。

設定リファレンス | WRC-2533GS2 ユーザーズマニュアル(WRC-2533GS2シリーズにおけるファームウェア更新設定)