2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

MXsecurityシリーズの複数の脆弱性

これらの脆弱性は、認証メカニズムと入力検証の設計または実装が不適切であることが原因で発生します。これらの脆弱性を悪用することで、攻撃者は認証を回避し、認証情報の不正開示や改ざん、機密データへの不正アクセス、許可のないリモートアクセスが実行される可能性があります。


確認された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1
幅の狭い乱数値(CWE-334)
CVE-2023-39979
攻撃者が認証を回避して不正アクセスを行う可能性があります。
2
SQLコマンド中に使用される特殊要素の不適切な中立化(「SQLインジェクション」)(CWE-89)
CVE-2023-39980
攻撃者がSQLコマンドを変更して不正アクセスを行い、情報を開示する可能性があります。
3
不適切な認証(CWE-287)
CVE-2023-39981
攻撃者が不正アクセスを行い、デバイス情報を開示する可能性があります。
4
ハードコードされた資格情報の使用(CWE-798)
CVE-2023-39982
攻撃者が中間者攻撃を促進し、SSHトラフィックを復号する可能性があります。
5
動的に決定されたオブジェクト属性の不適切に制御された変更(CWE-915)
CVE-2023-39983
攻撃者がnsm-webアプリケーションを介してデバイスを登録/追加する可能性があります。

 

脆弱性スコアの詳細

ID CVSS V3.1 ベクター 認証なしのリモートエクスプロイトの可能性
CVE-2023-39979 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H あり
CVE-2023-39980 7.1 AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N なし
CVE-2023-39981 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N あり
CVE-2023-39982 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N あり
CVE-2023-39983 5.3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N あり

 

影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
MXsecurity シリーズ
ソフトウェアバージョン1.0.1以前

 

対策

Moxaは、この脆弱性に対する適切な対策をリリースしました。影響を受ける製品への対策は以下の通りです。

製品シリーズ 対策
MXsecurity シリーズ ファームウェアをv1.1.0以降に更新してください。

 

緩和策

  • デバイスがインターネットからアクセスできないように、ネットワークの接続を最小限に抑える。
  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用してください。
  • 上記の脆弱性はすべてWebサービスが起点となっているため、これらの脆弱性によるさらなる被害を防ぐために、構成を完了した場合は、パッチをインストールするか、ファームウェアを更新するまでの間、Webサービスを一時的に無効にすることをお勧めします。

 

脆弱でないことが確認されている製品:

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、これらの脆弱性の影響を受けることがわかっています。

 

謝辞

クラロティ社Team82のNoam Moshe氏には脆弱性CVE-2023-39979、CVE-2023-39980、CVE-2023-39981を、Darren Martyn氏には脆弱性CVE-2023-39982を、Tenable Bug Bounty ProgramのJames Sebree氏には脆弱性CVE-2023-39983をそれぞれ報告いただき、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2023年9月1日
1.1 クラロティ社のクレジットを更新 2023年9月1日

関連製品

MXsecurityシリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加