古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
クリックジャッキング対策の不備の脆弱性について

2015年11月27日 初版

○概要

ルータの WEB 管理画面にログインした状態で、悪意のある Web サイトにアクセスして画面をクリックした場合に、クリックジャックされて、意図しない動作を実行させられるという問題が指摘されています。
この問題により、ルータの設定変更や装置再起動、ファームアップデートが意図せずに実行される可能性があります。

・参考情報

○当社製品に対する影響

WEB 管理機能を提供している当社製品は、本件脆弱性の影響を受けます。
当社製品に対する具体的な影響は以下のとおりです。

×:影響あり
=:影響なし
製品名 影響の有無
FITELnet-F40 ×
FITELnet F60/F60W ×
FITELnet-F80 ×
FITELnet-F100 ×
FITELnet-F140 ×
FITELnet F200 ×
FITELnet F200Plus ×
FITELnet-F1000
FITELnet-F2000
FITELnet F2200
FITELnet-F3000

○回避方法

ルータ側で WEB 管理機能を off にするコマンドで回避することが可能です。また、WEB 管理機能が有効であっても ブラウザが WEB管理画面にログインした状態になければ、影響を受けることはありません。ログイン状態にあっても一旦ブラウザを終了させて、ログイン状態を解除すれば問題を回避できます。

設定例(FITELnet-F40 以外の装置):
#configure terminal
(config)#http-server shutdown

設定例:(FITELnet-F60W 無線 LAN-AP側):
#configure terminal
(config)#wlan-global 2.4G
(config-wlan-global 2.4G)#http-server shutdown

FITELnet-F40の場合
WEB 管理機能を禁止するフィルタリング設定はご利用環境により設定内容が異なります。
設定についてはサポートデスクへお問い合わせください。

○対策ファームウェア

本件脆弱性に対応したファームウェアの提供が可能となりましたら、随時お知らせいたします。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2015