独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月22日、KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。
スマートフォンアプリ「東横INN公式アプリ」にサーバ証明書の検証不備の脆弱性
HGW BL1500HM Ver 002.001.013およびそれ以前
KDDI株式会社が提供するホームゲートウェイHGW BL1500HMには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・パスワードの強度が不十分(CVE-2024-21865)
→SSH接続されシェルを利用される
・パスワードの強度が不十分(CVE-2024-29071)
→システムの設定を変更される
・コマンドインジェクション(CVE-2024-28041)
→任意のコマンドを実行される
JVNでは、KDDIが提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。なお、本脆弱性は、HGW BL1500HM Ver 002.001.019で修正されている。
