ワイヤレスアクセスポイントにおけるPHP脆弱性の対策
PSV-2017-0517
PSV-2016-0258
NETGEARは、ローカルネットワークに接続した悪意のある攻撃者がワイヤレスアクセスポイントにコマンドを実行することができ、アクセスポイントのファイルシステムに読み書き権限を得ることができるセキュリティ脆弱性を2つ確認しました。
これらの脆弱性は、攻撃者が2つのうちどちらかの不適切なPHPフォームを利用すると現れます。
クロスサイトリクエストフォージェリ(CSRF)やクロスサイトスクリプティング(XSS)が、同様の脆弱性をリモート経由で攻撃する手段として使われることがあります。
これらの脆弱性は下記の製品に現れます。
WNAP320 ファームウェア3.5.20.0とそれ以前のもの
WNDAP360 ファームウェア3.5.20.0とそれ以前のもの
WNDAP660 ファームウェア3.5.20.0とそれ以前のもの
WND930 ファームウェア2.0.11とそれ以前のもの
【対策】
上記の製品はファームウェアで対策済みです。
NETGEARはすべてのユーザーに最新のファームウェアにアップグレードすることを推奨します。
最新ファームウェアは、コマンドインジェクションの脆弱性・ファイルシステム改ざんの脆弱性を修復し、PHPフォーム入力の正当性を検証します。
・WNAP320
・WNDAP360
・WNDAP660
・WND930
[ファームウェアを最新にする方法]
- NETGEAR Download Center にアクセスします。
- Search for欄でFirmware/Softwareのチェックボックスをチェックします。
- モデル名を検索窓に入力し、虫眼鏡マークをクリックします。
- ドロップダウンメニューから目的のモデル名を選びます。
- ドロップダウンメニューから見つからない場合は、モデル名を正しく入力したか、またはモデル名の末尾から一文字ずつ削除し、目的のモデル名を見つけます。
- リストの最上部の最新のファームウェアバージョンをクリックし、ダウンロード先を選択すれば即座にダウンロードが始まります。
- (推奨)リリースノートを確認するにはRelease Notesをクリックします。
- デスクトップなどの分かりやすい場所にファイルを展開します。
- 製品のユーザーマニュアルに沿ってファームウェアを適用します。ユーザーマニュアルはDownload CenterのDocumentation欄で入手可能です。
[英文]
https://kb.netgear.com/000037827/Security-Advisory-for-PHP-Vulnerabilities-on-Wireless-Access-Points-PSV-2017-0517-and-PSV-2016-0258?cid=wmt_netgear_organic
修正を含んだファームウェアを適用しない限りはリモートアクセス・ファイルシステム改ざん・コマンド実行の危険にさらされる可能性があります。
NETGEARは、修正を含んだファームウェアを適用しなかった場合に生じたいかなる結果にも責任を負わないものとします。