2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

MDS-G4028-L3シリーズおよびEDS-G512Eに発見された脆弱性 - SSHにおけるプレフィックス切り捨て、サポート終了後のNginxソフトウェア、弱いSSL/TLS鍵交換

MDS-G4028-L3シリーズおよびEDS-G512Eシリーズは、潜在的なセキュリティリスクをもたらす脆弱性の影響を受けます。MDS-G4028-L3シリーズは、不正アクセスを許す可能性のあるCVE-2023-48795や、古いバージョンのNginx(CVE-2021-23017、CVE-2021-3618、CVE-2019-20372)に対して脆弱であり、パッチ未適用の脅威にさらされます。EDS-G512Eシリーズは弱いSSL/TLS鍵交換の影響を受け、これにより暗号化された通信が危険にさらされ、データの傍受を許す可能性があります。


発見された脆弱性の種類と潜在的な影響

項目 脆弱性の種類 影響
1

CWE-354:整合性検証不備の脆弱性(CVE-2023-48795)

整合性チェックでは通常、データの出所の正当性を確認するために秘密鍵が使用されます。一般的に、整合性チェックを省略すると不適正なソースからの新しいデータが注入される可能性が生じます。
2 CWE-193:Off-by-oneエラー(CVE-2021-23017) この弱点は一般的に、未定義の動作につながり、その結果としてクラッシュを引き起こします。ループインデックス変数に関係するオーバーフローにより、無限ループが発生する可能性も高まります。
3 CWE-295:不正な証明書検証(CVE-2021-3618) 保護メカニズムのバイパスや、権限の取得、IDのなりすましが起こります。
4 CWE-444:HTTPリクエストの一貫性のない解釈(「HTTPリクエスト/レスポンススマグリング」)(CVE-2019-20372) 攻撃者は、1)あるURLを別のURLのWebページに関連付けさせるようなメッセージにより、WebサーバーがそのWebページのコンテンツをキャッシュするように仕向けることができる(Webキャッシュポイズニング攻撃)、2)ファイアウォール保護メカニズムを回避しWebアプリケーションへの不正なアクセス権を取得するようなメッセージを構成できる、3)メッセージを通じ、クライアント資格情報を返すスクリプトやページを呼び出すことができる(クロスサイトスクリプティング攻撃に類似)といった、いくつかの弱点を悪用するHTTPメッセージを作成できる可能性があります。
5 CWE-326:不十分な暗号強度 攻撃者がブルートフォース攻撃を使用してデータを復号する可能性があります。

脆弱性評価の詳細

ID
ベーススコア
ベクター

重大度

認証されていないリモートエクスプロイト

CVE-2023-48795

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

あり
CVE-2021-23017 7.7 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L あり
CVE-2021-3618 7.4 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N あり
CVE-2019-20372 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N あり
影響を受ける製品およびソリューション

CVE-2023-48795、CVE-2021-23017、CVE-2021-3618、およびCVE-2019-20372の影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
MDS-G4012 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4012-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン

 

弱いSSL/TLS鍵交換の影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
EDS-G508E シリーズ ファームウェアバージョン 6.4 以前のバージョン
EDS-G512E シリーズ ファームウェアバージョン 6.4 以前のバージョン
EDS-G516E シリーズ ファームウェアバージョン 6.4 以前のバージョン

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
EDS-G508E シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
EDS-G512E シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
EDS-G516E シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4012 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4012-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください

 

緩和策

  • デバイスにインターネットからアクセスできないようにすることで、ネットワークの露出を最小限に抑えてください。
  • ファイアウォールルールまたはTCPラッパーを使用して、信頼できるIPアドレスおよびネットワークへのWebアクセスを制限します。
  • 侵入検知システム(IDS)または侵入防止システム(IPS)を実装し、悪用の試行を検出して防止します。これらのシステムは、ネットワークトラフィックを監視して攻撃の兆候を検出することで、追加の防御層を提供できます。

 

改訂履歴

バージョン 説明 公開日
1.0 初版/td> 2024年11月04日
1.1 影響を受ける製品および対処方法を更新 2024年11月22日
1.2 検証および解析結果が更新されたため、CVE-2023-44487をアドバイザリから削除 2024年12月03日

関連製品

EDS-G508Eシリーズ · EDS-G512Eシリーズ · EDS-G516Eシリーズ · MDS-G4012-L3シリーズ · MDS-G4020-L3シリーズ · MDS-G4028-L3シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加