概要
Tenda i3ルーターのファームウェアバージョン1.0.0.6(2204)において、スタックベースのバッファオーバーフローの脆弱性(CVE-2026-3970)が報告されました。この脆弱性は、/goform/wifiSSIDgetファイル内のformwrlSSIDget関数に存在し、index引数の操作によって引き起こされる可能性があります。リモートからの攻撃が可能であり、既に悪用コードが公開されていると報告されています。
影響範囲
対象製品
- Tenda i3 ファームウェアバージョン 1.0.0.6(2204)
脆弱な機能
/goform/wifiSSIDgetファイル内のformwrlSSIDget関数
想定される影響
本脆弱性が悪用された場合、攻撃者によってスタックベースのバッファオーバーフローが引き起こされ、結果として任意のコードが実行される可能性があります。これにより、ルーターの制御が奪われたり、ネットワークへの不正アクセスを許したりするなどの深刻な影響が考えられます。
攻撃成立条件・悪用状況
本脆弱性は、index引数を操作することでリモートから悪用される可能性があります。
既に悪用コード(exploit)が公開されていると報告されており、攻撃が容易に行われる危険性があります。
推奨対策
今すぐできる対策
- ファームウェアのアップデート: 脆弱性が修正された最新のファームウェアが提供されているかを確認し、速やかに適用してください。Tenda社の公式ウェブサイトで最新情報を確認することが最も重要です。
中長期的な対策
- ネットワークセグメンテーション: 重要なシステムとルーターを分離し、攻撃の影響範囲を限定することを検討してください。
- 定期的なセキュリティ監査: 使用しているネットワーク機器のセキュリティ設定を定期的に見直し、不審なアクティビティがないか監視してください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。ファームウェアのアップデートが最優先の対策となります。
もし可能であれば、インターネットからの管理画面へのアクセスを制限する、あるいはVPN経由でのみアクセス可能にするなどの対策も検討してください。
確認方法
ご使用のTenda i3ルーターのファームウェアバージョンが「1.0.0.6(2204)」であることを確認してください。ルーターの管理画面からバージョン情報を確認できる場合があります。