2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

EDR-810/G902/G903シリーズ、Webサーバーのバッファオーバーフローに関する脆弱性

EDR-810、EDR-G902、およびEDR-G903シリーズで、サービス拒否攻撃に対する脆弱性が確認されました。この脆弱性はURIの不十分な入力検証に起因しており、悪意のあるユーザーがデバイスの再起動をトリガーする可能性があります。


発見された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1
入力サイズをチェックしないバッファコピー(CWE-120)
CVE-2023-4452 
攻撃者がデバイスの再起動をトリガーする可能性があります。

 

脆弱性スコアの詳細

ID CVSS v3.1スコア ベクター 重大度 認証なしのリモートエクスプロイトの可能性
CVE-2023-4452 6.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L  あり

 

影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
EDR-810 シリーズ ファームウェアバージョン v5.12.28 以前
EDR G902 シリーズ ファームウェアバージョン v5.7.20 以前
EDR G903 シリーズ ファームウェアバージョン v5.7.20 以前

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
EDR-810 シリーズ ファームウェアをv5.12.29 以降にアップグレードしてください
EDR-G902 シリーズ ファームウェアをv5.7.21 以降にアップグレードしてください
EDR-G903 シリーズ ファームウェアをv5.7.21 以降にアップグレードしてください

 

対策

  • デバイスにインターネットからアクセスできないようにすることで、ネットワークの露出を最小限に抑える。

  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用する。

  • 上記の脆弱性はすべてWebサービスが起点のため、さらなる被害を防ぐために構成を完了した場合は、パッチをインストールするか、ファームウェアを更新するまで、Webサービスを一時的に無効にすることをお勧めします。

 

影響を受けない製品:

このアドバイザリの「影響を受ける製品」に記載された製品のみが、この脆弱性の影響を受けます。以下の製品は、この脆弱性の影響を受けません。

  • EDR-8010 シリーズ、EDR-G9010 シリーズ

  • NAT-102 シリーズ

  • TN-5500A シリーズ、TN-4500A シリーズ、TN-G4500 シリーズ、TN-G6500 シリーズ 

  • TN-4900 シリーズ、TN-5900 シリーズ、TN-5900-ETBN シリーズ

  • AWK-3131A シリーズ、AWK-3131A-RCC シリーズ、AWK-3131A-RTG シリーズ

  • TAP-213 シリーズ、TAP-323 シリーズ

  • WAC-1001 シリーズ、WAC-2004A シリーズ

  • VPort 06-2 シリーズ、VPort 06EC-2V シリーズ、VPort 461A シリーズ、VPort 464 シリーズ、VPort P06-1MP-M12 シリーズ、VPort P06HC-1V シリーズ、VPort P16-1MP-M12 シリーズ、VPort P16-1MP-M12-IR シリーズ、VPort P16-2MR シリーズ

 

謝辞

Zhiyuan Chen氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2023年11月1日

関連製品

EDR-810シリーズ · EDR-G902シリーズ · EDR-G903シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加