センチュリー・システムズ製ルータ(FutureNet ASシリーズ)およびプロトコル変換器(FutureNet FAシリーズ)における複数の脆弱性について
[脆弱性情報]
弊社FutureNet ASシリーズ、FAシリーズは、JVNVU#96398949で報告されている「センチュリー・システムズ製ルータ(FutureNet ASシリーズ)およびプロトコル変換器(FutureNet FAシリーズ)における複数の脆弱性」に該当致します。
[対象製品およびファームウェア]
以下のAS、FAシリーズ製品およびバージョンが本脆弱性の影響を受けます。
CVE-2025-24846
| 製品名 | 該当バージョン |
|---|---|
| FutureNet AS-250/NL | Version 1.14.0 およびそれ以前 |
| FutureNet AS-250/KL | Version 1.14.0 およびそれ以前 |
| FutureNet AS-250/KL Rev2 | Version 2.6.4 およびそれ以前 |
| FutureNet AS-250/L | Version 2.6.4 およびそれ以前 |
| FutureNet AS-M250/L | Version 2.6.4 およびそれ以前 |
| FutureNet AS-M250/KL | Version 2.6.4 およびそれ以前 |
| FutureNet AS-M250/NL | Version 2.6.4 およびそれ以前 |
| FutureNet AS-P250/NL | Version 2.6.4 およびそれ以前 |
| FutureNet AS-P250/KL | Version 2.6.4 およびそれ以前 |
| FutureNet AS-210/U4 | Version 2.6.4 およびそれ以前 |
CVE-2025-25280
| 製品名 | 該当バージョン |
|---|---|
| FutureNet AS-250/NL | Version 1.14.0 およびそれ以前 |
| FutureNet AS-250/KL | Version 1.14.0 およびそれ以前 |
| FutureNet AS-250/KL Rev2 | Version 2.6.6 およびそれ以前 |
| FutureNet AS-250/L | Version 2.6.6 およびそれ以前 |
| FutureNet AS-M250/L | Version 3.0.0 およびそれ以前 |
| FutureNet AS-M250/KL | Version 3.0.0 およびそれ以前 |
| FutureNet AS-M250/NL | Version 3.0.0 およびそれ以前 |
| FutureNet AS-P250/NL | Version 2.6.6 およびそれ以前 |
| FutureNet AS-P250/KL | Version 2.6.6 およびそれ以前 |
| FutureNet AS-210/U4 | Version 2.6.6 およびそれ以前 |
| FutureNet FA-215 | Version 1.0.1 およびそれ以前 |
| FutureNet FA-210 | Version 1.1.9 およびそれ以前 |
※現在サポート中の製品に関する情報です。
サポート終了製品に関してはこちら。
[参考情報]
[対策方法]
本脆弱性の対策を施したファームウェアをダウンロードし、バージョンアップをおこなってください。
| 製品名 | 対策済ファームウェアバージョン |
|---|---|
| FutureNet AS-250/NL | Version 1.14.1 |
| FutureNet AS-250/KL | Version 1.14.1 |
| FutureNet AS-250/KL Rev2 | Version 3.1.1 |
| FutureNet AS-250/L | Version 3.1.1 |
| FutureNet AS-M250/L | Version 3.1.1 |
| FutureNet AS-M250/KL | Version 3.1.1 |
| FutureNet AS-M250/NL | Version 3.1.1 |
| FutureNet AS-P250/NL | Version 3.1.1 |
| FutureNet AS-P250/KL | Version 3.1.1 |
| FutureNet AS-210/U4 | Version 3.1.1 |
| FutureNet FA-215 | Version 1.0.2 |
| FutureNet FA-210 | Version 1.1.10 |
本脆弱性に対する直接的な回避策は、対策済みファームウェアへの更新のみとなります。 ファームウェアのアップデート手順につきましては、弊社ホームページに掲載されている実行例をご参照ください。
ASシリーズにおけるファームウェア更新が直ちに実施できない場合の対応について
ファームウェアの更新をすぐに実施できない場合でも、以下の対応策を講じることで、脆弱性が悪用されるリスクを最小限に抑えることが可能です。本脆弱性の回避策として、以下の2つの方法をご検討ください。
1. WAN側にASのWebサーバのポートを公開しない
ASシリーズのデフォルト設定では、WAN側にASのWebサーバのポートは公開されていません。
ASのNAT設定を確認し、以下のような設定が存在しない場合、ポートは公開されていないため、WAN側からの攻撃を防ぐことができます。
詳しくは、コマンドリファレンス 2.9「NAT」をご参照ください。
nat (ID) (ASのLAN側インタフェースのIPアドレス) tcp (Webサーバのポート) ipcp (WAN側で公開するポート番号)
例
- NAT登録番号: 0
- ASのLAN側IPアドレス: 192.168.254.254
- Webサーバのポート: 80
- WAN側で公開するポート番号: 8080
nat 0 192.168.254.254 tcp 80 ipcp 8080
もし、WAN側にASのWebサーバのポートを公開する必要がある場合は、次の「2. ASのWebサーバへアクセスできるIPアドレスを制限する」をご対応ください。
2. ASのWebサーバへアクセスできるIPアドレスを制限する
パケットフィルタ機能を使用し、信頼できるIPアドレスのみがWebサーバにアクセスできるよう設定することで、不正アクセスのリスクを軽減できます。
ASのデフォルト設定では、パケットフィルタが設定されていません。設定方法については、コマンドリファレンス 2.14「パケットフィルタ」をご参照ください。
設定例
- 許可するアクセス元: 198.51.100.1/32
- ASのLAN側IPアドレス: 192.168.254.254
- Webサーバのポート番号: 80
※WAN側で公開するポート番号はこの設定例では記述していません。
以下の設定を行うことで、198.51.100.1/32 からのアクセスのみを許可し、それ以外のアクセスを拒否できます。
filter 0 pass in 198.51.100.1/32 192.168.254.254/32 tcp * 80 ppp1
filter 1 reject in * 192.168.254.254/32 tcp * 80 ppp1
重要なお願い
暫定的な対策では完全にリスクを排除することはできません。
脆弱性に起因するセキュリティ上の問題を根本から解消するためには、ファームウェアの更新を必ず実施してください。
[更新履歴]
2025/02/28 新規登録
