30秒で判断
対応すべき人:
- 9Router 0.4.44 未満を使用しているすべてのユーザー
- 9Routerをインターネットに公開している環境
対応不要な人:
- 9Router 0.4.44 以降を使用している場合
- 9Routerを使用していない場合
確認コマンド:
# 9Router バージョン確認(UI またはAPIで確認)
curl -s http://localhost/api/version
⚠️ 注意: Shadowserver Foundationにより2026年7月4日(UTC)から実際の攻撃が観測されています。
概要
9Router の POST /api/tunnel/tailscale-install エンドポイントに認証チェックが存在しません(ダッシュボードのミドルウェアマッチャーの対象外)。リクエストボディの sudoPassword フィールドが sudo -S sh の標準入力に渡され、特定条件下ではシェルコマンドとして解釈されます。
攻撃が成立する条件:
- プロセスがrootとして実行されている
- NOPASSWDが設定されている
- 最近のsudoタイムスタンプキャッシュが存在する
これらの条件が揃った場合、未認証リモート攻撃者が任意のOSコマンドを実行できます。Shadowserver Foundationが実際の悪用を確認しており、緊急対応が必要です。
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | 被害者の操作不要 |
| Scope | Unchanged | |
| Confidentiality | High | 全ファイルへのアクセス |
| Integrity | High | ファイル改ざん・コード実行 |
| Availability | High | サービス停止・破壊 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| 9Router | decolua | < 0.4.44 |
修正バージョンと対応策
推奨対応: 9Router 0.4.44 以降へのアップデート
即時緩和策(アップデートが困難な場合):
- 9RouterのWebインターフェースへのネットワークアクセスを信頼済みIPのみに制限
- ファイアウォールルールで該当エンドポイントへのアクセスをブロック
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
