Moxaのセルラールーター、セキュアルーター、およびネットワークセキュリティアプライアンスは、不正アクセスやシステム侵害につながる可能性のある2つの重大な脆弱性の影響を受けています。1つ目の脆弱性CVE-2024-9137では、攻撃者は認証なしでデバイス構成を操作できます。2つ目の脆弱性CVE-2024-9139では、不適切に制限されたコマンドによるOSコマンドインジェクションが可能になり、攻撃者は任意のコードを実行できる可能性があります。これらの脆弱性は重大なセキュリティリスクをもたらすため、悪用の可能性を防ぐために直ちに対策を講じることを強くお勧めいたします。
見つかった脆弱性の種類と潜在的な影響は以下の通りです。
項目 |
脆弱性の種類 |
影響 |
1 |
CWE-306:重要な機能に対する認証の欠如
(CVE-2024-9137)
|
影響を受ける製品は、Moxaサービス経由でサーバーにコマンドを送信する際の認証チェックが欠如しています。この脆弱性により、攻撃者は特定のコマンドを実行できるため、設定ファイルの不正なダウンロードやアップロード、システムの侵害につながる可能性があります。 |
2 |
CWE-78:OSコマンドで使用される特殊要素の不適切な中立化(「OSコマンドインジェクション」)
(CVE-2024-9139)
|
影響を受ける製品では、不適切に制限されたコマンドによるOSコマンドインジェクションが許可され、攻撃者は任意のコードを実行できる可能性があります。 |
脆弱性評価の詳細
ID |
ベーススコア |
ベクター |
認証されていないリモートエクスプロイト |
CVE-2024-9137 |
CVSS 3.1: 9.4 |
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H |
あり |
CVSS 4.0: 8.8 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N |
CVE-2024-9139 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
なし |
CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |