2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

ioLogik E2200シリーズのコントローラ、I/O、およびioAdmin Configuration Utilityの脆弱性

  • アドバイザリーID: MPSA-211101
  • バージョン: V1.0
  • 公開日: 2021年11月23日
  • 参考:
    • BDU:2021-05548、BDU:2021-05549、BDU:2021-05550、BDU:2021-05551、BDU:2021-05552、BDU:2021-05553、BDU:2021-05554、BDU:2021-05555、BDU:2021-05556、BDU:2021-05557、BDU:2021-05558

MoxaのioLogik E2200シリーズのコントローラ、I/O、およびioAdmin Configuration Utilityに複数の脆弱性が見つかりました。これを受け、Moxaはそれらの脆弱性に対処するための関連対策をリリースしました。

ioLogik E2200シリーズについて見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1 不適切な認証(CWE-285)とクライアント側認証の使用(CWE-603)
BDU:2021-05548
攻撃者が特別なネットワークパッケージを作成して、認証情報を取得したり、さらには認証チェックを回避したりすることが可能となります。
2 ハードコードされたパスワードの使用(CWE-259)
BDU:2021-05549
悪意のあるユーザーが、ハードコードされたパスワードを通じてアクセス権を取得することができます。
3 不適切なアクセス制御(CWE-284)
BDU:2021-05550
不正アクセスの制限の欠如または不適切な制限
4 スタックベースのバッファオーバーフロー(CWE-121)
BDU:2021-05551
組み込みのWebサーバー内のバッファオーバーフローにより、リモートの攻撃者がDoS攻撃を開始し、任意コード実行(RCE)を行うことができるようになっています。
5 入力サイズのチェックなしのバッファコピー(CWE-120)
BDU:2021-05552
組み込みのWebサーバー内のバッファオーバーフローにより、リモートの攻撃者がDoS攻撃を開始できるようになっています。
6 スタックベースのバッファオーバーフロー(CWE-121)および潜在的な不適切な認証(CWE-285)
BDU:2021-05553
組み込みのWebサーバー内のバッファオーバーフローにより、リモートの攻撃者がDoS攻撃を開始し、任意コード実行(RCE)を行うことができるようになっており、認証を回避できる可能性もあります。
7 スタックベースのバッファオーバーフロー(CWE-121)および潜在的な不適切な認証(CWE-285)
BDU:2021-05554
組み込みのWebサーバー内のバッファオーバーフローにより、リモートの攻撃者がDoS攻撃を開始し、任意コード実行(RCE)を行うことができるようになっており、認証を回避できる可能性もあります。
8 スタックベースのバッファオーバーフロー(CWE-121)および潜在的な不適切な認証(CWE-285)
BDU:2021-05555
組み込みのWebサーバー内のバッファオーバーフローにより、リモートの攻撃者がDoS攻撃を開始し、任意コード実行(RCE)を行うことができるようになっており、認証を回避できる可能性もあります。


ioAdmin Configuration Utilityについて見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
9 脆弱なパスワード要件(CWE-521)
BDU:2021-05556
脆弱なパスワード要件により、攻撃者がブルートフォース攻撃を用いてデバイスに対するアクセス権を取得できる可能性があります。
10 過度な認証試行に対する不適切な制限(CWE-307)
BDU:2021-05557
脆弱なパスワード要件により、攻撃者がブルートフォース攻撃を用いてデバイスに対するアクセス権を取得できる可能性があります。
11 メモリ内での機密情報の平文保存(CWE-316)br /> BDU:2021-05558 攻撃者がマルウェアを利用して、デバイスのメモリ内に保存されている機密データを取得することができます。
 
影響を受ける製品およびソリューション

影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
ioLogik E2200 シリーズ ファームウェアバージョン3.13以前
ioAdmin Configuration Utility ソフトウェアバージョン3.19以前

 

対処方法:

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品シリーズ 対処方法
ioLogik E2200 シリーズ 項目1、2、および4~9に対して:セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

項目3に対して:この脆弱性の悪用には、デバイスに物理的にアクセスして、さらにそのデバイスのケースを分解することが必要となります。そのため、Moxaはこのデバイスを鍵付きのキャビネット内やその他の安全な環境に設置することを強く推奨します。
ioAdmin Configuration Utility 項目10および11に対して:セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

 

謝辞:

Rostelecom-SolarのIlya Karpov氏、Konstantin Kondratev氏、Evgeniy Druzhinin氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。
 

改訂履歴:

バージョン 説明 公開日
1.0 最初の公開 2021 年 11 月 23 日

関連製品

ioLogik E2200 シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加