脆弱性情報

DCEID-2025-001: 複数のモバイルルータにおける情報漏洩とコマンドインジェクションの脆弱性

公開日: 2025年8月28日

最終更新日: 2025年8月29日

■概要

弊社の複数のモバイルルータ関連製品にて機微な情報の取得が可能な脆弱性と実行可能なコマンドインジェクションが存在する脆弱性が判明しました。
これらの脆弱性が悪用された場合に、悪意のある第三者の攻撃により、これらの装置に対して遠隔からコマンドが実行されてしまう危険性があります。
この問題の影響を受けるモバイルルータ関連製品のバージョンを以下に示しますので、以下の修正プログラムを適応してください。

■該当製品の確認方法

影響を受ける製品は以下の製品です。

  • HL330-DLS(通信モジュールMC7700用)ファームウェアバージョン1.03およびそれ以前
  • HL330-DLS(通信モジュールMC7330用)ファームウェアバージョン2.02tおよびそれ以前
  • HL320-DLS(通信モジュールMC7700用)ファームウェアバージョン1.03およびそれ以前
  • HL320-DLS(通信モジュールMC7330用)ファームウェアバージョン2.02tおよびそれ以前
  • LM-100 ファームウェアバージョン1.02およびそれ以前
  • LM-200(通信モジュールAMP570用)ファームウェアバージョン1.02およびそれ以前
  • LM-200(通信モジュールEC25-J用)ファームウェアバージョン1.05eおよびそれ以前
  • L2X Assist ファームウェアバージョン2.01およびそれ以前
  • L2X Assist-RS-A ファームウェアバージョン1.11およびそれ以前
  • L2X Assist-RS-E ファームウェアバージョン1.12およびそれ以前
  • F2L Assist-SS-A ファームウェアバージョン1.03およびそれ以前
  • F2L Assist-SS-E ファームウェアバージョン1.01およびそれ以前

使用しているバージョン番号の確認方法は下記の通りです。

  1. 本体を起動し、取扱説明書に従って設定画面を表示します。
  2. 設定画面の最初のページに本体型式とバージョン番号が表示されます。

■脆弱性の説明

対象のモバイルルータはWEB画面による設定機能を搭載しており、インターネットからも設定を変更することが可能となっています。このWEB画面の機能に脆弱性が存在するため、外部の第三者からインターネット越しに情報取得やコマンドの実行される脆弱性が存在します。

■脆弱性がもたらす脅威

情報漏洩により設定画面の管理者権限を取得することが可能となり、その権限を使ってコマンドを実行することで、装置内のコンピュータを完全に制御されてしまう可能性があり、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。

■対策方法

対策版のファームにアップデートしてください。

HL330-DLSはサポート終了となっています。ただし、HL320-DLSと同ファームなので、HL320-DLSのファームにてアップデートすることが可能です。

  • HL320-DLS(通信モジュールMC7700用)ファームウェアバージョン1.04およびそれ以降
  • HL320-DLS(通信モジュールMC7330用)ファームウェアバージョン2.03tおよびそれ以降
  • LM-100ファームウェアバージョン1.03およびそれ以降
  • LM-200(通信モジュールAMP570用)ファームウェアバージョン1.03およびそれ以降
  • LM-200 (通信モジュールEC25-J用) ファームウェアバージョン1.06eおよびそれ以降
  • L2X Assistファームウェアバージョン2.02およびそれ以降
  • L2X Assist-RS-Aファームウェアバージョン1.12およびそれ以降
  • L2X Assist-RS-Eファームウェアバージョン1.13およびそれ以降
  • F2L Assist-SS-Aファームウェアバージョン1.04およびそれ以降
  • F2L Assist-SS-Eファームウェアバージョン1.02およびそれ以降

■回避策

この脆弱性は、次に示す方法で影響を緩和できる場合があります。

  1. 下記の方法で、デフォルト値を使ったアクセスに対して回避できます。
    • 設定画面のパスワードをデフォルトから変更する。
    • WAN側の設定ポート番号をデフォルトから変更する。
  2. 下記のいずれかの方法で、インターネットからWEB設定へのアクセスができなくなり脆弱性を回避できます。
    • WAN側からの設定を拒否に変更する。
    • 閉域網に変更する。
    • ローカルアドレスのSIMに変更する。

■関連情報

JVN#50585992
複数のiND製品における複数の脆弱性
CVE-2025-53507, CVE-2025-53508

■更新履歴

2025年8月28日 公開

2025年8月29日 JVNへのリンク追加

■連絡先

不明な点がございましたら、下記ウェブサイトの『脆弱性お問い合わせフォーム』に記入いただくか、下記の連絡先にてお問合せください。

ウェブサイト脆弱性報告ポリシー
電話でのお問い合わせ03-3664-5552 月〜金曜日(休日を除く)/9:00〜17:30
E-mailでのお問い合わせpsirt@i-netd.co.jp

 

totop