CERT Coordination Center (CERT/CC)は、TOTOLINK製のワイヤレスレンジエクステンダー「EX200」に存在する未修正のセキュリティ欠陥(CVE-2025-65606、CVSSスコアはN/A)に関する詳細を公開しました。この脆弱性は、リモートからの認証済み攻撃者がデバイスの完全な制御権を掌握することを可能にする重大なリスクを伴います。
この欠陥の核心は、ファームウェア・アップロード時のエラー処理ロジックの不備にあります。このロジックの意図しない挙動により、デバイスが外部からの不正な操作を受け入れ、結果としてリモートコード実行(RCE)に至る可能性があります。
IoTデバイスやネットワーク機器におけるファームウェアレベルの脆弱性は、Web3環境におけるエンドポイントセキュリティの連鎖的な弱点となり得ます。攻撃者はこの制御権を利用して、ネットワークトラフィックの傍受や、侵害されたデバイスを経由した内部ネットワークへの侵入工作を行う可能性があります。現在、この脆弱性に対するベンダーからの公式パッチは提供されておらず、ユーザーはデバイスの使用を一時停止するか、隔離されたネットワークでの運用を検討するなど、緊急の緩和策を講じる必要があります。
ソース元: Unpatched Firmware Flaw Exposes TOTOLINK EX200 to Full Remote Device Takeover
TOTOLINK EX200に未修正ファームウェアの脆弱性、リモートからのデバイス完全乗っ取りの危険性
News
コメント