2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

EDS-405A/408Aシリーズにおける複数のWeb脆弱性

Webサーバーに関する複数の脆弱性が、EDS-405Aシリーズのバージョン3.5以前、およびEDS-408Aシリーズのバージョン3.6以前に影響を与えます。入力検証が不十分であること、および権限管理が不適切であることが原因で、これらの脆弱性が生じます。攻撃者は、細工したHTTP入力をWebサービスに送信することで、これらの脆弱性を悪用する可能性があります。これらの脆弱性が悪用されると、サービス拒否攻撃、リモートでのコード実行、権限昇格が引き起こされる可能性があります。

特定された脆弱性の種類と潜在的な影響

項目 脆弱性の種類 影響
1

不適切な権限管理(CWE-269)

CVE-2015-6464

攻撃者が細工した入力を送信して、権限を昇格させる可能性があります。
2

制御不能なリソース枯渇(CWE-400)

CVE-2015-6465 

EDS-405AおよびEDS-408Aで実行されている組み込みのGoAhead Webサーバーは、サービス拒否攻撃に対して脆弱です。
3

Webページ生成時の入力の不適切な中立化(クロスサイトスクリプティング)(CWE-79)

CVE-2015-6466 

管理Webインターフェースの入力フィールドには入力検証機能がないため、悪用され、JavaScriptコードが挿入される可能性があります。

脆弱性評価の詳細

ID
CVSS v2.0 スコア
ベクター
重大度
認証されていないリモートエクスプロイト
CVE-2015-6464 

8.2

AV:N/AC:L/Au:S/C:N/I:C/A:C  なし
CVE-2015-6465 6.8  AV:N/AC:L/Au:S/C:N/I:N/A:C  なし
CVE-2015-6466 4.3  AV:N/AC:M/Au:N/C:N/I:P/A:N  あり
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
EDS-405A シリーズ ファームウェアバージョンv3.5以前
EDS-408A シリーズ ファームウェアバージョンv3.6以前

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
EDS-405A シリーズ ファームウェア バージョン3.6以降にアップグレードしてください。
EDS-408A シリーズ ファームウェア バージョン3.7以降ににアップグレードしてください。

 

緩和策

  • デバイスにインターネットからアクセスできないようにすることで、ネットワークの露出を最小限に抑えてください。
  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用してください。
  • 上記の脆弱性はすべてWebサービスに起因するため、設定が完了したらWebサービスを一時的に無効にすることをお勧めします。無効にすることで、パッチまたは更新ファームウェアがインストールされるまでの間、これらの脆弱性による被害の拡大を防ぐことができます。

 

脆弱でないことが確認されている製品:

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、この脆弱性の影響を受けることがわかっています。

 

謝辞

Applied RiskのErwin Paternotte氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2024年6月27日

関連製品

EDS-405Aシリーズ · EDS-408Aシリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加