パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

ARRIS、ARRISケーブルモデムに複数の脆弱性を確認

  • 元記事:ARRIS cable modems generate passwords deterministically and contain XSS and CSRF vulnerabilities
  • HP:ARRIS
  • 発表日時 2015/11/20

    ARRIS、ARRISケーブルモデムに複数の脆弱性が確認された。影響を受ける製品はTG862A、TG862G、DG860Aで、ファームウェアバージョンTS0705125D_031115_NA.MODEL_862.GW.MONO、TS0705125_062314_NA.MODEL_862.GW.MONO、TS070593C_073013_NA.MODEL_862.GW.MONO、TS0703128_100611_NA.MODEL_862.GW.MONO
    、TS0703135_112211_NA.MODEL_862.GW.MONOで、これらには「password of the day」のアルゴリズム及びdateとseedを知っている遠隔の攻撃者がデバイスにアクセス可能になる認証情報の管理、モデムのシリアル番号をベースにしたハードコードされたパスワードを知る遠隔の攻撃者に管理者権限でアクセスされる問題、ウェブ管理画面の pwd のパラメータ adv_pwd_cgi にクロスサイトスクリプティングの脆弱性、ウェブ管理画面にログイン中のユーザと同じ権限で悪意あるリクエスト送信が可能になるクロスサイトリクエストフォージェリの脆弱性が存在する。これらの脆弱性に対する解決策は確認されていない。軽減策として、「password of the day」のSeedを変更し、安全でない遠隔管理を無効にすることで、これらの脆弱性の影響を軽減できる。




    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!

    おすすめ