公開日:2023/10/10 最終更新日:2023/10/10

JVNVU#99039725
マイクロリサーチ製MR-GM シリーズにおける複数の脆弱性

概要

株式会社マイクロリサーチが提供するMR-GM シリーズには、複数の脆弱性が存在します。

影響を受けるシステム

無線LAN機能を搭載したMR-GM2/MR-GM3の全機種が本脆弱性の影響を受けます。

  • MR-GM2 ファームウェア Ver. 3.00.03およびそれ以前
  • MR-GM3 シリーズ(MR-GM3-D/-K/-S/-DK/-DKS/-M/-W)ファームウェア Ver. 1.03.45およびそれ以前
MR-GM3L シリーズは、本脆弱性の影響を受けません。

詳細情報

株式会社マイクロリサーチが提供するMR-GM シリーズには、次の複数の脆弱性が存在します。

  • 境界外書き込み (CWE-787) - CVE-2021-35392、CVE-2021-35393
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 4.3
  • デフォルト暗号鍵の利用 (CWE-1392) - CVE-2023-45194
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N 基本値: 6.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該製品のWPS機能を有効にしている場合、本対象製品にアクセス可能な第三者によって、WPS機能が動作不能にされる - CVE-2021-35392、CVE-2021-35393
  • 当該製品で出荷時の事前共有鍵を変更せず無線LAN通信を行っている場合、第三者によって通信が盗聴される - CVE-2023-45194

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
株式会社マイクロリサーチ MR-GMシリーズ 脆弱性につきまして

参考情報

  1. Realtek_APRouter_SDK_Advisory
    Realtek AP-Router SDK Advisory (CVE-2021-35392/CVE-2021-35393/CVE-2021-35394/CVE-2021-35395)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

CVE-2021-35392、CVE-2021-35393の脆弱性が当該製品に存在することを下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 佐藤勝彦(goroh_kun)氏

CVE-2023-45194
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 佐藤勝彦(goroh_kun)氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2023-45194
JVN iPedia