古河電工ネットワーク機器の総合ブランド ファイテルネット
クリックジャッキング対策の不備の脆弱性について
| 2015年11月27日 初版 |
| 2016年06月30日 FITELnet F60/F200の対応情報を追加 |
○概要
ルータの WEB 管理画面にログインした状態で、悪意のある Web サイトにアクセスして画面をクリックした場合に、クリックジャックされて、意図しない動作を実行させられるという問題が指摘されています。
この問題により、ルータの設定変更や装置再起動、ファームアップデートが意図せずに実行される可能性があります。
・参考情報
この問題により、ルータの設定変更や装置再起動、ファームアップデートが意図せずに実行される可能性があります。
・参考情報
- JVN#48135658
複数のルータ製品におけるクリックジャッキングの脆弱性
○当社製品に対する影響
WEB 管理機能を提供している当社製品は、本件脆弱性の影響を受けます。
当社製品に対する具体的な影響は以下のとおりです。
当社製品に対する具体的な影響は以下のとおりです。
|
×:影響あり =:影響なし |
|
○回避方法
ルータ側で WEB 管理機能を off にするコマンドで回避することが可能です。また、WEB 管理機能が有効であっても ブラウザが WEB管理画面にログインした状態になければ、影響を受けることはありません。ログイン状態にあっても一旦ブラウザを終了させて、ログイン状態を解除すれば問題を回避できます。
設定例(FITELnet-F40 以外の装置):
#configure terminal
(config)#http-server shutdown
設定例:(FITELnet-F60W 無線 LAN-AP側):
#configure terminal
(config)#wlan-global 2.4G
(config-wlan-global 2.4G)#http-server shutdown
FITELnet-F40の場合
WEB 管理機能を禁止するフィルタリング設定はご利用環境により設定内容が異なります。
設定についてはサポートデスクへお問い合わせください。
設定例(FITELnet-F40 以外の装置):
#configure terminal
(config)#http-server shutdown
設定例:(FITELnet-F60W 無線 LAN-AP側):
#configure terminal
(config)#wlan-global 2.4G
(config-wlan-global 2.4G)#http-server shutdown
FITELnet-F40の場合
WEB 管理機能を禁止するフィルタリング設定はご利用環境により設定内容が異なります。
設定についてはサポートデスクへお問い合わせください。
○対策ファームウェア
本件脆弱性に対応したファームウェアの提供が可能となりましたら、随時お知らせいたします。
・FITELnet F60 : V01.11(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F60W : V01.04(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F200 : V01.17(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F200Plus : V01.17(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F60 : V01.11(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F60W : V01.04(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F200 : V01.17(00)のファームウェアにて対策しました(2016/06/30)
・FITELnet F200Plus : V01.17(00)のファームウェアにて対策しました(2016/06/30)
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2015