KDDIの無線LANルーター「HOME SPOT CUBE」に脆弱性、アップデートは"なし"

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは1月27日、KDDIが提供する無線LANルーター「HOME SPOT CUBE」に複数の脆弱性があるとして、注意喚起を行った。

HOME SPOT CUBEはKDDIが2012年2月より提供を開始した無線LANルーターで、現在は提供終了となっている。後継機種のHOME SPOT CUBE2は、今回の脆弱性の影響を受けないという。

存在を指摘されている脆弱性は、「クロスサイトスクリプティング」と「オープンリダイレクト」「HTTP ヘッダインジェクション」「クロスサイトリクエストフォージェリ」「クリックジャッキング」「OSコマンドインジェクション」の6件で、脆弱性を放置した場合に受ける攻撃の可能性としては以下の5件がある。

Webブラウザ上で任意のスクリプトを実行される(クロスサイトスクリプティング)
外部のWebサイトに転送される(オープンリダイレクト)
HTTPレスポンス分割攻撃によって、Cookieに任意の値が設定される(HTTP ヘッダインジェクション)
設定変更など、ユーザーの意図しない操作が行われる(クロスサイトリクエストフォージェリ、クリックジャッキング)