CentreCOM AR260S V2 における権限昇格の脆弱性
アライドテレシス株式会社
公開 2017年03月30日
CentreCOM AR260S v2 には以下の脆弱性が該当致します。 1) 脆弱性の概要 ユーザーレベルのアカウントを利用して、管理者権限による任意の操作を 実行される可能性があります。 2) 対象製品 CentreCOM AR260S v2 の全てのバージョン 3) 影響 当該製品は初期設定としてユーザーレベルのアカウント「guest」が設定 されている為、パスワードを変更していない場合、当該脆弱性の攻撃を 受ける可能性があります。 4) 対策 以下?@または?Aの対策についてご検討をお願い致します。 又、以下?Bの対策によって、WAN側からの攻撃を防ぐ事が可能です。 ?@ ユーザーレベル アカウントのパスワードを変更する 特にアカウント「guest」の初期パスワードは一般に知られている為、 第三者に知られていないパスワードへ変更して下さい。 ?A 設定管理クライアントを設定する クライアントに対して本製品の設定権限を付与し、設定管理クライア ントとして登録することができます。 これによって、指定されていないクライアントからのアクセスを防ぐ 事が可能です。 ?B ファイアウォール機能を有効にする 当該製品にはファイアウォール機能(初期設定は有効)が実装されており、 WAN側からの意図しないアクセスを防ぐ事が可能です。