ARRIS、ARRISケーブルモデムに複数の脆弱性を確認

  • 元記事:ARRIS cable modems generate passwords deterministically and contain XSS and CSRF vulnerabilities
  • HP:ARRIS
  • 発表日時 2015/11/20

    ARRIS、ARRISケーブルモデムに複数の脆弱性が確認された。影響を受ける製品はTG862A、TG862G、DG860Aで、ファームウェアバージョンTS0705125D_031115_NA.MODEL_862.GW.MONO、TS0705125_062314_NA.MODEL_862.GW.MONO、TS070593C_073013_NA.MODEL_862.GW.MONO、TS0703128_100611_NA.MODEL_862.GW.MONO
    、TS0703135_112211_NA.MODEL_862.GW.MONOで、これらには「password of the day」のアルゴリズム及びdateとseedを知っている遠隔の攻撃者がデバイスにアクセス可能になる認証情報の管理、モデムのシリアル番号をベースにしたハードコードされたパスワードを知る遠隔の攻撃者に管理者権限でアクセスされる問題、ウェブ管理画面の pwd のパラメータ adv_pwd_cgi にクロスサイトスクリプティングの脆弱性、ウェブ管理画面にログイン中のユーザと同じ権限で悪意あるリクエスト送信が可能になるクロスサイトリクエストフォージェリの脆弱性が存在する。これらの脆弱性に対する解決策は確認されていない。軽減策として、「password of the day」のSeedを変更し、安全でない遠隔管理を無効にすることで、これらの脆弱性の影響を軽減できる。