2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

TN-5900シリーズおよびTN-4900シリーズのWebサーバーに関する複数の脆弱性

バージョン3.3以前のTN-5900シリーズ、およびバージョン1.2.4以前のTN-4900シリーズは、Webサーバーに関する複数の脆弱性の影響を受けます。入力検証が不十分な場合にこれらの脆弱性が発生します。攻撃者が細工した入力をWebサービスに送信することで、この脆弱性を悪用される可能性があります。悪用された場合、サービス拒否、リモートでのコード実行、権限昇格が起こる可能性があります。

角印された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1

不適切な認証(CWE-287)

CVE-2023-33237 

攻撃者がブルートフォースによって認証パラメータを突破する可能性があります。
2

コマンドで使用される特殊要素の不適切な中立化(「コマンドインジェクション」)(CWE-77)

CVE-2023-33238、CVE-2023-33239、CVE-2023-34213、CVE-2023-34214、CVE-2023-34215

リモートの攻撃者がWebインターフェースを介してデバイス上で任意のコマンドを実行する可能性があります。
3

制限されたディレクトリに対するパス名の不適切な制限 (「パストラバーサル」)(CWE-22)

CVE-2023-34216、CVE-2023-34217

攻撃者がプログラムやライブラリなど、コードの実行に利用される重要なファイルを作成または上書きできる可能性があります。

 

脆弱性スコアの詳細

ID CVSS v3.1 ベクター 認証なしでのリモートエクスプロイトの可能性
CVE-2023-33237  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-33238  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-33239  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-34213  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-34214  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-34215  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H  なし
CVE-2023-34216  8.1  AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H  なし
CVE-2023-34217  8.1  AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H  なし
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
TN-5900 シリーズ

ファームウェアバージョン3.3以前

CVE-2023-33237、CVE-2023-33238、CVE-2023-33239、CVE-2023-34213、CVE-2023-34214、CVE-2023-34215、CVE-2023-34216、CVE-2023-34217

TN-4900 シリーズ

ファームウェアバージョン1.2.4以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34214、CVE-2023-34216、CVE-2023-34217

EDR-810  シリーズ

ファームウェアバージョン5.12.27以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34214

EDR-G902 シリーズ

ファームウェアバージョンv5.7.17以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34214、CVE-2023-34216、CVE-2023-34217 

EDR-G903 シリーズ

ファームウェアバージョン5.7.15以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34214、CVE-2023-34216、CVE-2023-34217

EDR-G9010 シリーズ

ファームウェアバージョン2.1以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34216、CVE-2023-34217

NAT-102 シリーズ

ファームウェアバージョン1.0.3以前

CVE-2023-33238、CVE-2023-33239、CVE-2023-34216、CVE-2023-34217

 

対策

Moxaは、この脆弱性に対する適切な対策をリリースしました。影響を受ける製品への対策は以下の通りです。

製品シリーズ 対策
TN-5900 シリーズ ファームウェアをv3.4以降に更新してください。
TN-4900 シリーズ
ファームウェアをv3.0以降に更新してください。
EDR-810 シリーズ
ファームウェアをv5.12.29以降に更新してください。
EDR-G902 シリーズ
ファームウェアをv5.7.21以降に更新してください。
EDR-G903 シリーズ
ファームウェアをv5.7.21以降に更新してください。
EDR-G9010 シリーズ
ファームウェアをv3.0以降に更新してください。
NAT-102 シリーズ
ファームウェアをv1.0.5以降に更新してください。

 

緩和策

  • インターネットからデバイスにアクセスできない状態にすることで、ネットワークの露出を最小限に抑えてください。

  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用してください。

  • 上記の脆弱性はすべてWebサービスに起因するため、これらの脆弱性によるさらなる被害を防ぐために、構成を完了した場合はパッチをインストールするか、ファームウェアを更新するまでの間、Webサービスを一時的に無効にすることをお勧めします。

 

脆弱でないことが確認されている製品

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、この脆弱性の影響を受けることがわかっています。

 

謝辞

CODE WHITE GmbHのSimon Janz氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2023年8月16日
1.1 TN-4900 シリーズ製品への対策を更新 2023年9月4日
1.2

影響を受ける製品にEDR-810 シリーズ、EDR-G902 シリーズ、EDR-G903 シリーズ、EDR-G9010 シリーズ、NAT-102 シリーズを追加
上記のシリーズへの対策を更新

2023年10月20日

関連製品

EDR-810シリーズ · EDR-G9010シリーズ · EDR-G902シリーズ · EDR-G903シリーズ · NAT-102シリーズ · TN-4900シリーズ · TN-5900シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加