2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

ioLogik 4000シリーズのWebサーバーに関する複数の脆弱性および不適切なアクセス制御の脆弱性

ioLogik 4000シリーズ(ioLogik E4200)のファームウェアバージョン1.6以前は、Webサーバーに関する複数の脆弱性と不適切なアクセス制御の脆弱性の影響を受けます。

Webサーバーの脆弱性

Webサーバーの脆弱性は、HTTPヘッダーの不適切な設定または実装によって起こります。攻撃者は、この脆弱性を悪用してWebサービスを侵害する可能性があります。

不適切なアクセス制御の脆弱性

不適切なアクセス制御の脆弱性は、既存の未承認サービスの不適切な制御によって発生します。攻撃者は、この未承認サービスに接続することで、この脆弱性を悪用する可能性があります。この脆弱性の悪用は、不正アクセスにつながる可能性があります。

確認された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1
既存の未認証サービス
(CWE-284 不適切なアクセス制御)
CVE-2023-4227 
攻撃者が不正アクセスを行う可能性があります
2
セッションCookie属性が正しく設定されない
(CWE-1004:'HttpOnly'フラグのない機密性の高いCookie)
CVE-2023-4228 
攻撃者がWebサービスを侵害する可能性があります
3
セッションヘッダーが実装されない
(CWE-1021:レンダリングされたUIレイヤーまたはフレームの不適切な制限)
CVE-2023-4229 
攻撃者がWebサービスを侵害する可能性があります
4
サーバーバナー情報の開示
(CWE-200:権限のない行為者に機密情報が漏えい)
CVE-2023-4230 
攻撃者がWebサービスを侵害する可能性があります
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
ioLogik 4000 シリーズ(ioLogik E4200) ファームウェアバージョン1.6以前

 

対策

Moxaは、この脆弱性に対する適切な対策をリリースしました。影響を受ける製品への対策は以下の通りです。

製品シリーズ 対策
ioLogik 4000シリーズ(ioLogik E4200) セキュリティパッチについて、Moxaのテクニカルサポートまでお問い合わせください。

 

緩和策 

  • デバイスをインターネットからアクセスできない状態にすることで、ネットワークの露出を最小限に抑えてください 。

  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用してください。

  • 上記の脆弱性はすべてWebサービスに起因するため、これらの脆弱性によるさらなる被害を防ぐために、修正パッチをインストールするか、ファームウェアを更新するまでの間、Webサービスを一時的に無効にすることをお勧めします。 

 

脆弱でないことが確認されている製品

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、これらの脆弱性の影響を受けることがわかっています。

 

改訂履歴

バージョン 説明 公開日
1.0 初版 2023年8月24日

関連製品

ioLogik 4000 シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加