2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

EDR-810シリーズのセキュリティルータの脆弱性

  • バージョン: V1.0
  • 公開日: 2021年3月23日
  • 参考:
    • CVE-2014-2284、CVE-2015-1788、CVE-2016-10012、CVE-2015-3195、CVE-2016-6515、CVE-2017-17562、CVE-2013-0169、CVE-2016-0703、CVE-2013-1813、CVE-2010-2156
    • BDU:2015-07052、BDU:2015-11035、BDU:2017-00350、BDU:2016-01654、BDU:2018-00117、BDU:2018-00118、BDU:2015-09702、BDU:2016-00629、BDU:2015-09676、BDU:2018-00784

MoxaのEDR-810の産業用セキュアルータに複数の製品脆弱性が見つかりました。これを受け、Moxaはそれらの脆弱性に対処するための関連対策を開発しました。

見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1 不適切な入力検証
CVE-2014-2284、BDU:2015-07052
細工されたパケットにより、EDR-810シリーズのSNMP操作が停止する可能性があります。
2 リソース管理エラー
CVE-2015-1788、BDU:2015-11035
不正な形式のバイナリ多項式フィールドにより、リモートの攻撃者がサービス拒否を引き起こす可能性があります。
3 メモリバッファ境界内の操作の不適切な制限
CVE-2016-10012、BDU:2017-00350
SSH接続では、サンドボックス内での特権分離プロセスへのアクセスを利用して、ローカルユーザーが特権を取得する可能性があります。
4 権限のない行為者に機密情報が漏えい
CVE-2015-3195、BDU:2016-01654
不正な形式のデータにより、リモートの攻撃者がデータ復号化の失敗をトリガーして、プロセスメモリから機密情報を取得する可能性があります。
5 不適切な入力検証
CVE-2016-6515、BDU:2018-00117
パスワード認証用に細工された文字列により、リモートの攻撃者がサービス拒否を引き起こす可能性があります。
6 不適切な入力検証
CVE-2017-17562、BDU:2018-00118
細工されたHTTPリクエストにより、リモートでコードが実行される可能性があります。
7 暗号化の問題
CVE-2013-0169、BDU:2015-09702
古いTLSプロトコルを使用した場合、リモートの攻撃者が識別攻撃と平文回復攻撃を実行できるようになる可能性があります。
8 権限のない行為者に機密情報が漏えい
CVE-2016-0703、BDU:2016-00629
古いSSLプロトコルを使用した場合、中間者攻撃者がTLS暗号文データを解読できるようになる可能性があります。
9 アクセス許可、特権、およびアクセス制御
CVE-2013-1813、BDU:2015-09676
権限のあるユーザーの不適切な操作により、ローカルユーザーがコンソールを介して未知の影響や攻撃経路を持つ恐れがあります。
10 数値エラー
CVE-2010-2156、BDU:2018-00784
細工されたDHCPパケットにより、リモートの攻撃者がサービス拒否を引き起こす可能性があります。
影響を受ける製品およびソリューション

影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
EDR-810シリーズ 項目1:ファームウェアバージョン5.7以下
項目2~10:ファームウェアバージョン5.1以下

 

対処方法:

Moxaはこの脆弱性に対処するための適切な対策を開発しました。影響を受ける製品に向けた対策は以下の通りです。

製品シリーズ 対処方法
EDR-810シリーズ 項目1:ファームウェアバージョン5.8以上にアップグレードしてください。(ダウンロードリンク
項目2~10については、ファームウェアバージョン5.3以上にアップグレードしてください。(ダウンロードリンク

謝辞:

BDU FSTEC社には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。
 

改訂履歴:

バージョン 説明 公開日
1.0 最初の公開 2021年3月23日

関連製品

EDR-810シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加