1. ホーム
お知らせ

FutureNet NXRシリーズ、VXRシリーズおよびASシリーズにおけるTunnelingプロトコルの安全でない実装(GRE/IPIP/4in6/6in4)について

[脆弱性情報]

弊社FutureNet NXRシリーズ、VXRシリーズおよびASシリーズは、JVNTA#90434358で報告されている「Tunnelingプロトコルの安全でない実装(GRE/IPIP/4in6/6in4)」に該当致します。

判明した脆弱性一覧

  • FutureNet NXRシリーズ、VXRシリーズ
     ・任意の送信元からのL2TPv3パケットを受け入れてしまう可能性があります。
  • FutureNet ASシリーズ
     ・任意の送信元からのGREパケットを受け入れてしまう可能性があります。

 

[対象製品およびファームウェア]

以下の製品およびバージョンが本脆弱性の影響を受けます。

FutureNet NXRシリーズ、VXRシリーズ

製品名 該当バージョン
FutureNet NXR-1300シリーズ Version 7.4.12 およびそれ以前
FutureNet NXR-650 Version 21.16.5 およびそれ以前
FutureNet NXR-610Xシリーズ Version 21.14.11D およびそれ以前
FutureNet NXR-530 Version 21.11.15 およびそれ以前
FutureNet NXR-350/C Version 5.30.9C およびそれ以前
FutureNet NXR-230/C Version 5.30.13 およびそれ以前
FutureNet NXR-160/LW Version 21.8.4 およびそれ以前
FutureNet NXR-G540シリーズ Version 21.17.0
FutureNet NXR-G260シリーズ Version 9.12.17 およびそれ以前
FutureNet NXR-G240シリーズ Version 9.12.17 およびそれ以前
FutureNet NXR-G180/L-CA Version 21.7.33 およびそれ以前
FutureNet NXR-G120シリーズ Version 21.15.2C1 およびそれ以前
FutureNet NXR-G110シリーズ Version 21.15.10 およびそれ以前
FutureNet NXR-G100シリーズ Version 6.23.11 およびそれ以前
FutureNet NXR-G060シリーズ Version 21.15.6C2 およびそれ以前
FutureNet NXR-G050シリーズ Version 21.12.11 およびそれ以前
FutureNet VXR-x64 Version 21.7.33 およびそれ以前
FutureNet VXR-x86 Version 10.1.5 およびそれ以前

※現在サポート中の製品に関する情報です。
サポート終了製品に関してはこちら

FutureNet ASシリーズ

製品名 該当バージョン
FutureNet AS-250/NL Version 1.14.0 およびそれ以前
FutureNet AS-250/KL Version 1.14.0 およびそれ以前
FutureNet AS-250/KL Rev2 Version 2.6.6 およびそれ以前
FutureNet AS-250/L Version 2.6.6 およびそれ以前
FutureNet AS-M250/L Version 2.6.6 およびそれ以前
FutureNet AS-M250/KL Version 2.6.6 およびそれ以前
FutureNet AS-M250/NL Version 2.6.6 およびそれ以前
FutureNet AS-P250/NL Version 2.6.6 およびそれ以前
FutureNet AS-P250/KL Version 2.6.6 およびそれ以前
FutureNet AS-210/U4 Version 2.6.6 およびそれ以前

※現在サポート中の製品に関する情報です。
サポート終了製品に関してはこちら

 

[参考情報]

JVNTA#90434358

 

[対策方法]

本脆弱性の対策を施したファームウェアをダウンロードし、バージョンアップをおこなってください。

FutureNet NXRシリーズ、VXRシリーズ

製品名 対策済ファームウェアバージョン
FutureNet NXR-1300シリーズ Version 7.4.13
FutureNet NXR-650 Version 21.16.6
FutureNet NXR-610Xシリーズ Version 21.14.11F
FutureNet NXR-530 Version 21.11.16
FutureNet NXR-350/C Version 5.30.9D
FutureNet NXR-230/C Version 5.30.14
FutureNet NXR-160/LW Version 21.8.5
FutureNet NXR-G540シリーズ Version 21.17.1
FutureNet NXR-G260シリーズ Version 9.12.18
FutureNet NXR-G240シリーズ Version 9.12.18
FutureNet NXR-G180/L-CA Version 21.7.34
FutureNet NXR-G120シリーズ Version 21.15.2C2
FutureNet NXR-G110シリーズ Version 21.15.11
FutureNet NXR-G100シリーズ Version 6.23.12
FutureNet NXR-G060シリーズ Version 21.15.6C3
FutureNet NXR-G050シリーズ Version 21.12.12
FutureNet VXR-x64 Version 21.7.34
FutureNet VXR-x86 Version 10.1.6

FutureNet ASシリーズ

製品名 対策済ファームウェアバージョン
FutureNet AS-250/NL Version 1.14.1
FutureNet AS-250/KL Version 1.14.1
FutureNet AS-250/KL Rev2 Version 3.1.1
FutureNet AS-250/L Version 3.1.1
FutureNet AS-M250/L Version 3.0.0
FutureNet AS-M250/KL Version 3.0.0
FutureNet AS-M250/NL Version 3.0.0
FutureNet AS-P250/NL Version 3.1.1
FutureNet AS-P250/KL Version 3.1.1
FutureNet AS-210/U4 Version 3.1.1

 

本脆弱性に対する直接的な回避策は、対策済みファームウェアへの更新のみとなります。 ファームウェアのアップデート手順につきましては、弊社ホームページに掲載されている実行例をご参照ください。

 

NXR、VXRシリーズにおけるファームウェア更新が直ちに実施できない場合の対応について

ファームウェアの更新をすぐに実施できない場合でも、以下の対応策を講じることで、脆弱性が悪用されるリスクを低減できます。

以下の2つの方法を実施することをご検討ください。

1. アクセス制限の強化
信頼できるIPアドレスのみL2TPv3通信を許可するフィルタ設定を行うことで、不正アクセスのリスクを低減できます。
フィルタ設定は動的フィルタ(ステートフルパケットインスペクション)と組み合わせてご利用ください。
設定例は、以下をご参照ください。

2. IPsecを併用する
L2TPv3とIPsecによる暗号化を併用することで、不正アクセスのリスクを低減できます。
L2TPv3とIPsecを併用する設定例は、以下をご参照ください。

 

ASシリーズにおけるファームウェア更新が直ちに実施できない場合の対応について

ファームウェアの更新をすぐに実施できない場合でも、GRE機能を使用していなければ、WAN側からの攻撃を防ぐことが可能です。

GRE機能の無効化を確認する

ASシリーズのデフォルト設定では、GRE機能は無効になっています。
設定を確認し、以下の設定行が含まれていない場合、GRE機能は使用されておらず、WAN側からの攻撃を防ぐことができます。
詳細については、コマンドリファレンス 2.15「GRE設定」をご参照ください。

interface (接続先登録番号) gre (GRE対向IPアドレス)

  • domainコマンドによって設定した接続先登録番号: 0
  • GRE対向IPアドレス: 198.51.100.1


interface 0 gre 198.51.100.1

 

重要なお願い

暫定的な対策では完全にリスクを排除することはできません。
脆弱性に起因するセキュリティ上の問題を根本から解消するためには、ファームウェアの更新を必ず実施してください。

 

[更新履歴]

2025/02/28 新規登録
2025/03/28 NXRシリーズ、VXRシリーズ追記

 

ページトップ