Acerは、同社のWave 7メッシュルーターに影響する最高深刻度のゼロデイ脆弱性2件に対応中であることを公式に認めました。
金曜日に公開されたセキュリティアドバイザリによると、これら2件の脆弱性はセキュリティ研究者のGergo Pap氏によって報告されたもので、ファームウェアバージョンT7c_GBL_1.01.000055以前を実行しているWave 7ルーターに影響します。
1件目のゼロデイ脆弱性は、アクセス制御の不備に起因するものであり、CVE-2026-49200として追跡されています。この脆弱性を悪用すると、認証を受けていない攻撃者がログアーカイブに保存された平文の認証情報にリモートからアクセスできる可能性があります。
Acerは「デバイスのファームウェアに含まれるacer_cgi.logファイルは、Webインターフェース経由で認証なしにアクセスできる状態にあります。このファイルにはWebおよびTelnetのログイン認証情報が平文で含まれており、システムへの不正アクセスにつながる恐れがあります」と説明しています。
2件目(CVE-2026-49201)は、ハードコードされた暗号化キーに起因するもので、権限を持たないリモート攻撃者がルーターに持続的なバックドアアクセスを確立できる可能性があります。
同社はさらに、「デバイスのバックアップ処理を担うupload.cgiバイナリには、AES暗号化キーがハードコードされています。これにより攻撃者はシステムバックアップの復号・改ざん・再暗号化が可能となり、持続的なバックドアの埋め込みが行われる恐れがあります」と付け加えています。
現時点ではこれら2件の脆弱性に対するセキュリティパッチは提供されていませんが、Acerは今月末までに修正プログラムをリリースする予定で作業を進めています。
同社は「上記の脆弱性は、今後のファームウェアアップデートで修正される予定です。修正プログラムは2026年6月末までに提供できるよう計画しています」と述べています。
また同社は、セキュリティアップデートが公開され次第、すべてのユーザーに対して以下の手順に従い、速やかにデバイスのファームウェアを更新するよう「強く推奨」しています。
- Wi-FiまたはEthernetケーブルでAcer Wave 7ルーターにパソコンを接続する。
- Webブラウザを開き、ルーター管理コンソール(http://192.168.76.1 または http://acerconnect.com)にアクセスする。
- 管理者の認証情報を使用してログインする。
- System Managementに移動し、Firmware Updateを選択する。
- 「Check for Updates」を選択する。
パッチが提供されるまでの攻撃リスクを軽減するために、Acerのユーザーはリモート管理を無効にするか、ファームウェアが許可する場合はインターネット経由のリモートアクセスを信頼できるIPアドレスのみに制限することを推奨しています。
検証のギャップ:自動ペネトレーションテストが答えられる問いは一つ。本当に必要なのは六つの視点。
自動ペネトレーションテストツールは確かな価値を提供しますが、それらはもともと「攻撃者がネットワーク内を横断移動できるか」という一つの問いに答えるために設計されています。コントロールが脅威をブロックできているか、検知ルールが正常に機能しているか、クラウド設定が堅牢かといった検証には対応していません。
本ガイドでは、実際に検証すべき6つの攻撃対象領域を解説します。
