TP-Link製のWi-Fiルーターなどに脆弱性　ファームウェアの更新を

IoT機器を取り扱うゼロゼロワンの公式Xアカウントのポストによると、ティーピーリンクジャパンが扱っているTP-Linkの複数の製品に複数の脆弱性が発見されたという。Wi-Fiルーターやメッシュシステム20製品に複数の脆弱性が存在したとして、JVN（Japan Vulnerability Notes）が情報を公開した。対策方法としては、Archer C5以外の製品は最新のファームウェアにアップデートすることが推奨される。この中でArcher C5に関してはサポートがすでに終了しており、アップデートの提供はないとしている（ゼロゼロワンのポスト、JPCERT/CC：複数のTP-Link製品における複数の脆弱性、INTERNET Watch）。

・具体的な影響を受ける製品名に関しては以下の通り。ファームウェアのバージョンにより影響が異なる
Archer C50、Archer C55、TL-WR802N、TL-WR841N、TL-WR902AC、Archer C20、Archer C1200、Archer C9、ArcherA10、Archer C3150、Archer C7、Archer C5400、TL-WR940N、Deco M4、Archer AX50、Archer AX10、Archer AX11000、Archer AX6000

・想定される影響
ユーザによる任意のOSコマンドの実行
ハードコードされたアカウント情報を利用した不正侵入と任意のOSコマンドの実行
細工されたリクエストによる認証の回避と任意のOSコマンドの実行
細工されたリクエストによる任意のコードの実行

・脆弱性の種類とCVE番号
OSコマンドインジェクション (CWE-78): CVE-2023-31188、CVE-2023-36489、CVE-2023-38563、CVE-2023-38568、CVE-2023-38588、CVE-2023-39224、CVE-2023-39935、CVE-2023-40193、CVE-2023-40357、CVE-2023-40531
ハードコードされた認証情報の使用 (CWE-798): CVE-2023-32619
不適切な認証 (CWE-287): CVE-2023-37284
スタックベースのバッファオーバーフロー (CWE-121): CVE-2022-24355　

スラドのコメントを読む | セキュリティセクション | ハードウェア | セキュリティ | インターネット | アナウンス

　関連ストーリー：
エレコムやロジテック製無線LANルーターで、製品発売時には存在しなかった脆弱性 2023年08月16日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
エレコム、2013年と2017年発売のルーターに脆弱性。対応予定はなく使用中止を求める 2021年07月07日
バッファロー製Wi-Fiルーターに複数の脆弱性　サポート終了機器は早急に買い替えを 2021年04月30日