JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性」において、東日本電信電話(NTT東日本)が提供する複数の「ホームゲートウェイ」および「ひかり電話ルータ」に脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、WAN側IPv6アドレスを特定した攻撃者によって設定画面にアクセスされる可能性がある。

JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

ひかり電話ルータ (RT-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本

ひかり電話ルータ (PR-400MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本

ひかり電話ルータ (RV-440MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本

ホームゲートウェイ/ひかり電話ルータ (PR-500MI,RS-500MI,RT-500MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本

ホームゲートウェイ/ひかり電話ルータ (RX-600MI,PR-600MI)|バージョンアップ情報|サポート情報|通信機器トップ|Web116.jp|NTT東日本

脆弱性の情報(CVE)は次のとおり。

CVE-2024-47044 - アクセス制限不備の脆弱性

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

ひかり電話ルータ RT-400MI Ver.09.00.0015およびこれ以前のバージョン

ひかり電話ルータ PR-400MI Ver.09.00.0015およびこれ以前のバージョン

ひかり電話ルータ RV-440MI Ver.09.00.0015およびこれ以前のバージョン

ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0004およびこれ以前のバージョン

ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0008およびこれ以前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

ひかり電話ルータ RT-400MI Ver.09.00.0017

ひかり電話ルータ PR-400MI Ver.09.00.0017

ひかり電話ルータ RV-440MI Ver.09.00.0017

ホームゲートウェイ/ひかり電話ルータ PR-500MI/RS-500MI/RT-500MI Ver.08.00.0007

ホームゲートウェイ/ひかり電話ルータ PR-600MI/RX-600MI Ver.01.00.0012

上記の製品は西日本電信電話(NTT西日本)からも提供されているが、NTT西日本ユーザーは脆弱性の影響を受けない。JPCERT/CCは当該製品を利用しているNTT東日本ユーザーに対し、NTT東日本が提供する情報を確認してアップデートを適用するように推奨している。