「UD-LT1」および「UD-LT1/EX」における複数の脆弱性について（JVN#46615026）

 注釈：最新情報は、JVN(JVN#46615026)をご覧ください。

概要

株式会社アイ・オー・データ機器が提供する「UD-LT1」および「UD-LT1/EX」は、ハイブリッド LTE ルーターです。

「UD-LT1」および「UD-LT1/EX」には、不適切なアクセス権限付加（CVE-2024-45841）、OS コマンドインジェクション（CVE-2024-47133）およびドキュメント化されていない機能（CVE-2024-52564）の脆弱性が存在します。

本脆弱性を悪用された場合、認証情報を窃取されたり、任意の OS コマンドを実行されたり、ファイアウォールを無効化され機器の設定を変更されたりする可能性があります。

同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートおよび、ワークアラウンドを実施してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。

• CVSS v3に基づいた深刻度と基本値について
  • 脆弱性のCVSS v3深刻度
  • 脆弱性のCVSS v3基本値

CVE-2024-52564

CVE-2024-47133

CVE-2024-45841

対象

次の製品が対象です。
--- 2024年 12 月 18 日更新 ---

CVE-2024-45841、CVE-2024-47133

• UD-LT1 ファームウェア Ver.2.1.9およびそれ以前
  

• UD-LT1/EX ファームウェア Ver.2.1.9およびそれ以前
  

CVE-2024-52564

• UD-LT1 ファームウェア Ver.2.1.8およびそれ以前
  

• UD-LT1/EX ファームウェア Ver.2.1.8およびそれ以前
  

対策

アップデートする

開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

CVE-2024-45841、CVE-2024-47133
--- 2024年 12 月 18 日更新 ---
これらの脆弱性は、次のバージョンで修正されています。

• UD-LT1 ファームウェア Ver.2.2.0
  

• UD-LT1/EX ファームウェア Ver.2.2.0
  

CVE-2024-52564
この脆弱性は、次のバージョンで修正されています。

• UD-LT1 ファームウェア Ver.2.1.9
• UD-LT1/EX ファームウェア Ver.2.1.9

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• 株式会社アイ・オー・データ機器の告知ページ

ワークアラウンドを実施する

当該機器の設定確認および変更を実施してください。
詳細は、開発者が提供する情報を確認してください。

参考情報

• 株式会社アイ・オー・データ機器の告知ページ

• 「情報セキュリティ早期警戒パートナーシップ」について
  この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
  • 脆弱性関連情報の届出受付