製品・ソフトウェアに関する情報

JVN脆弱性詳細

ASUS RT シリーズのルータのファームウェアにおける任意のコードを実行される脆弱性

Title	ASUS RT シリーズのルータのファームウェアにおける任意のコードを実行される脆弱性
Summary	ASUS RT シリーズのルータのファームウェアは、ファームウェアの (1) アップデート情報、または (2) ダウンロードされたアップデートの整合性を検証しないため、任意のコードを実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-345: Insufficient Verification of Data Authenticity (データの信頼性についての不十分な検証) と識別されています。 http://cwe.mitre.org/data/definitions/345.html
Possible impacts	中間者攻撃 (man-in-the-middle attack) により、巧妙に細工された画像を介して、任意のコードを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 28, 2014, midnight
Registration Date	Nov. 7, 2014, 12:26 p.m.
Last Update	Feb. 10, 2016, 5:04 p.m.

Affected System

ASUSTeK Computer Inc.

RT ファームウェア 3.0.0.4.376.x 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-2718	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2718
2	CVE-2014-2718	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2718
National Vulnerability Database (NVD)
3	CVE-2014-2718	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2718
4	CVE-2014-2718	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2718
関連文書
5	CVE-2014-2718: ASUS wireless router updates are vulnerable to a MITM attack	http://seclists.org/fulldisclosure/2014/Oct/122
6	CVE-2014-2718: ASUS wireless router updates are vulnerable to a MITM attack	http://seclists.org/fulldisclosure/2014/Oct/122

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther
2	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
ASUS
1	Top Page	http://www.asus.com/jp/
2	Top Page	http://www.asus.com/jp/
T-Mobile
3	Cellspot router firmware update information	https://support.t-mobile.com/docs/DOC-21994
4	Cellspot router firmware update information	https://support.t-mobile.com/docs/DOC-21994

その他

No	Name	URL
関連文書
1	(CVE-2014-2718) ASUS wireless router updates vulnerable to a Man in the Middle attack	http://dnlongen.blogspot.jp/2014/10/CVE-2014-2718-Asus-RT-MITM.html
2	(CVE-2014-2718) ASUS wireless router updates vulnerable to a Man in the Middle attack	http://dnlongen.blogspot.jp/2014/10/CVE-2014-2718-Asus-RT-MITM.html

Change Log

No	Changed Details	Date of change
0	[2014年11月07日] 掲載 [2015年01月14日] 概要：内容を更新 CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新 [2016年02月10日] ベンダ情報：T-Mobile (Cellspot router firmware update information) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-2718

Summary	ASUS RT-AC68U, RT-AC66R, RT-AC66U, RT-AC56R, RT-AC56U, RT-N66R, RT-N66U, RT-N56R, RT-N56U, and possibly other RT-series routers before firmware 3.0.0.4.376.x do not verify the integrity of firmware (1) update information or (2) downloaded updates, which allows man-in-the-middle (MITM) attackers to execute arbitrary code via a crafted image.
Publication Date	Nov. 5, 2014, 7:55 a.m.
Registration Date	Jan. 26, 2021, 3:09 p.m.
Last Update	Nov. 21, 2024, 11:06 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:t-mobile:tm-ac1900:3.0.0.4.376_3169:::::::*

Related information, measures and tools

No	URL	タグ
1	http://dnlongen.blogspot.com/2014/10/CVE-2014-2718-Asus-RT-MITM.html	Exploit
2	http://dnlongen.blogspot.com/2014/10/CVE-2014-2718-Asus-RT-MITM.html	Exploit
3	http://packetstormsecurity.com/files/128904/ASUS-Router-Man-In-The-Middle.html	Exploit
4	http://packetstormsecurity.com/files/128904/ASUS-Router-Man-In-The-Middle.html	Exploit
5	http://seclists.org/fulldisclosure/2014/Oct/122	Exploit
6	http://seclists.org/fulldisclosure/2014/Oct/122	Exploit
7	http://www.securityfocus.com/bid/70791
8	http://www.securityfocus.com/bid/70791
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/98316
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/98316
11	https://support.t-mobile.com/docs/DOC-21994
12	https://support.t-mobile.com/docs/DOC-21994

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-345	データの信頼性についての不十分な検証	https://cwe.mitre.org/data/definitions/345.html