Linksys 製ワイヤレス ルーターに脆弱性

セキュリティ対策会社および個人の技術コンサルタントは、クラッカーに管理操作を許すセキュリティ上の脆弱性が、Cisco Systems (NASDAQ:CSCO) の家庭用ネットワーク部門 Linksys のワイヤレス ブロードバンドルーターに見つかったと警告した。

同脆弱性は、独立技術コンサルタントの Alan W. Rateliff 氏が、顧客の『Linksys WRT54G Wireless-G Broadband Router』をインストールしている際に発見した。Rateliff 氏は4月末に Linksys に問題を報告し、5月31日付けで同社から何ら反応が無かったとして、公開メーリングリストに脆弱性を警告する書き込みを行なった。同警告によると、リモート管理機能を無効にしている場合でも、同製品は WAN 側からポート番号80番および443番に接続した場合、Web ページを用いた管理用インターフェースへのアクセスを許してしまうという。

Rateliff 氏はこの脆弱性について、「問題なのは明らかだ。この製品のデフォルト設定では、そしてもちろんユーザーがわざわざ変更している場合でも、簡単に推測できるパスワードによって、WAN 上から管理機能を完全に利用できてしまう」と述べた。

デンマークのセキュリティ対策会社 Secunia は2日、同脆弱性の危険度を5段階中の3番目「中程度」とし、ユーザーに対して管理用 Web インターフェースのアクセスには推察しにくいパスワードを用いるか、Web インターフェイス全体へのアクセス制限を設けるよう勧告している。

Rateliff 氏は Linksys がファームウェアを更新して対応するまでの間、対処策として、ポート番号80番および443番を、実在しないホストへ接続するようなポートフォワーディング機能の設定を行なえば、デフォルトの挙動に優先するとして勧めている。