情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 重要なセキュリティ情報
  4. 2024年度
  5. センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について

センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について

公開日:2024年8月1日

最終更新日:2024年8月1日

注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

センチュリー・システムズ株式会社が提供するFutureNet NXRシリーズ・WXRシリーズはセンター向け・拠点向けVPNルータ、VXRシリーズは仮想ソフトウェアルータです。

FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズには脆弱性が確認されており、脆弱性が悪用された場合、Telnetに無制限でアクセスされる、任意のOSコマンドを実行される、機微な情報を窃取されるといったおそれがあります。

できるだけ早急に、製品開発者が提供する情報をもとに、ファームウェアのアップデート等の対応を行ってください。

なお、これらの製品は、ISDN回線のサービス終了に伴い、それまでの専用線からインターネット上でのVPNの利用に移行する際に、インターネットに接続する両端で、運用コストに紛れ込む形でIT資産として管理されないまま、VPNルータやIoTルータとして用いられている場合もありますので、組織内でこれらの製品が使用されていないか改めて確認することを推奨します。
このような製品の脆弱性が悪用された場合、組織内のネットワークへの侵入に加え、他組織への踏み台とされ、一種のORB(Operational Relay Box)となり、意図せず他組織への攻撃活動に加担してしまうおそれもありますので、注意してください。
過去にも、他社のIoTルータの脆弱性が悪用され、製品内の情報の改ざんなどが生じた事例が確認されています。本件についても脆弱性が悪用され、ORB化等が生じる可能性がありますので、本件の影響を受ける製品を利用されている場合には早急な対応が推奨されます。
ORB化への対策については、以下の注意喚起もご参照ください。

また、自組織のIoT機器等の把握のために、必要に応じてSHODAN等のサービスの利用もご検討ください。SHODANの概要や利用方法については、IPAが2016年に公表した以下の文書もご参照ください(記載されているサービスの仕様等が現状のものと異なる場合がありますのでご注意ください。)。

影響を受けるシステム

  • FutureNet NXR-1300シリーズ ファームウェア Version 7.4.9 およびそれ以前
  • FutureNet NXR-650 ファームウェア Version 21.16.1 およびそれ以前
  • FutureNet NXR-610Xシリーズ ファームウェア Version 21.14.11 およびそれ以前
  • FutureNet NXR-530 ファームウェア Version 21.11.13 およびそれ以前
  • FutureNet NXR-350/C ファームウェア Version 5.30.9 およびそれ以前
  • FutureNet NXR-230/C ファームウェア Version 5.30.12 およびそれ以前
  • FutureNet NXR-160/LW ファームウェア Version 21.8.3 およびそれ以前
  • FutureNet NXR-G200シリーズ ファームウェア Version 9.12.15 およびそれ以前
  • FutureNet NXR-G180/L-CA ファームウェア Version 21.7.28B およびそれ以前
  • FutureNet NXR-G120シリーズ ファームウェア Version 21.15.2 およびそれ以前
  • FutureNet NXR-G110シリーズ ファームウェア Version 21.7.30C およびそれ以前
  • FutureNet NXR-G100シリーズ ファームウェア Version 6.23.10 およびそれ以前
  • FutureNet NXR-G060シリーズ ファームウェア Version 21.15.5 およびそれ以前
  • FutureNet NXR-G050シリーズ ファームウェア Version 21.12.9 およびそれ以前
  • FutureNet VXR-x64 ファームウェア Version 21.7.31 およびそれ以前
  • FutureNet VXR-x86 ファームウェア Version 10.1.4 およびそれ以前
  • FutureNet NXR-1200 ファームウェア Version 5.25.21 およびそれ以前
  • FutureNet NXR-130/C ファームウェア Version 5.13.21 およびそれ以前
  • FutureNet NXR-155/Cシリーズ ファームウェア Version 5.22.5M およびそれ以前
  • FutureNet NXR-125/CX ファームウェア Version 5.25.7H およびそれ以前
  • FutureNet NXR-120/C ファームウェア Version 5.25.7H およびそれ以前
  • FutureNet WXR-250 ファームウェア Version 1.4.7 およびそれ以前

対策

開発者の提供する以下の情報をご参照の上、ファームウェアのバージョンアップ等の必要な対応を行ってください。
なお、開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しており、サポートが終了した製品については、製品の使用停止または後続製品への移行が推奨されています。

お知らせ(センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性について)
お知らせ(サポート終了製品に関する重要なお知らせ)

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人情報処理推進機構(IPA) セキュリティセンター
コンピュータウイルス・不正アクセスに関する情報提供窓口

注釈:個別のシステムおよび環境に関するご質問はシステム・製品等を調達したベンダ・保守事業者・販社などの契約先にお問合せください。

関連リンク

更新履歴

  • 2024年8月1日

    掲載