FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
【概要】
富士通株式会社が提供する FUJITSU Network IPCOM は統合ネットワークアプライアンスです。
FUJITSU Network IPCOM の操作時に使用する運用管理インタフェースには、次の複数の脆弱性が存在します。
- Web コンソールにおける OS コマンドインジェクション (CWE-78) - CVE-2022-29516
- コマンドラインインタフェースにおけるバッファオーバーフロー (CWE-120) - CVE-2020-10188
この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
【CVSS による深刻度 (CVSS とは?)】
CVSS v3 による深刻度
基本値: 9.8 (緊急)[IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 低
・攻撃に必要な特権レベル: 不要
・利用者の関与: 不要
・影響の想定範囲: 変更なし
・機密性への影響(C): 高
・完全性への影響(I): 高
・可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 低
・攻撃前の認証要否: 不要
・機密性への影響(C): 全面的
・完全性への影響(I): 全面的
・可用性への影響(A): 全面的
※上記は、CVE-2022-29516の評価になります。
----------------------------------------------------------------
CVSS v3 による深刻度
基本値: 9.8 (緊急)[IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 低
・攻撃に必要な特権レベル: 不要
・利用者の関与: 不要
・影響の想定範囲: 変更なし
・機密性への影響(C): 高
・完全性への影響(I): 高
・可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 低
・攻撃前の認証要否: 不要
・機密性への影響(C): 全面的
・完全性への影響(I): 全面的
・可用性への影響(A): 全面的
当該製品では、既知の脆弱性を含む netkit-telnet が使用されています。
※上記は、CVE-2020-10188の評価になります。
【影響を受けるシステム】
富士通
- IPCOM EX2シリーズ
- IPCOM EXシリーズ
- IPCOM VA2/VE1シリーズ
- IPCOM VE2シリーズ
【影響を受けるシステム】
遠隔の第三者によって次のような影響を受ける可能性があります。
- 任意の OS コマンドを実行される
- 機微な情報を窃取されたり、改ざんされたりする
- サービス運用妨害 (DoS) 攻撃を受ける
【対策】
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- IPCOM EX2シリーズ(V01L0x系) V01L05NF0501
- IPCOM EX シリーズ(E20系) E20L33NF1101
[ワークアラウンドを実施する]
以下のいずれかの回避策を適用することで、許可された運用管理端末以外からの不正なアクセスを防いでください。
- 運用管理端末を配置する専用のネットワークを用意し、運用管理インタフェースへのアクセスをこのネットワークからのみに制限する
- 個々の運用管理端末に対してアクセス許可を設定する
詳しくは開発者が提供する情報をご確認ください。
【ベンダ情報】
富士通
【CWEによる脆弱性タイプ一覧 CWEとは?】
- OSコマンドインジェクション(CWE-78) [IPA評価]
- バッファエラー(CWE-119) [IPA評価]
【共通脆弱性識別子(CVE) CVEとは?】
出典:JVN iPedia