2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

セルラールーター、セキュアルーター、ネットワークセキュリティアプライアンスにおける権限昇格とOSコマンドインジェクションの脆弱性

Moxaのセルラールーター、セキュアルーター、およびネットワークセキュリティアプライアンスは、重大なセキュリティリスクをもたらす2つの重大な脆弱性の影響を受けます。

  • CVE-2024-9138:この脆弱性はハードコードされた資格情報に関係しており、認証済みユーザーが権限を昇格してシステムへのルートレベルのアクセス権を取得できる可能性があります。
  • CVE-2024-9140:この脆弱性により、攻撃者は特殊文字を悪用して入力制限を回避できるため、不正なコマンド実行につながる可能性があります。

潜在的な悪用を防ぎこれらのリスクを緩和するために、直ちに対策することを強くお勧めします。

見つかった脆弱性の種類と潜在的な影響

項目 脆弱性の種類 影響
1

CWE-656:隠蔽によるセキュリティへの依存(CVE-2024-9138)

ハードコードされた資格情報を悪用すると、認証済みユーザーがルートレベルのアクセス権を取得し、システムの侵害、不正な変更、データの漏洩、またはサービスの中断につながる可能性があります。
2 CWE-78:OSコマンド中に使用される特殊要素の不適切な無作用化(「OSコマンドインジェクション」)(CVE-2024-9140) 影響を受ける製品では、不適切に制限されたコマンドによるOSコマンドインジェクションが許可され、攻撃者は任意のコードを実行できる可能性があります。

脆弱性評価の詳細

ID ベーススコア ベクター 重大度 認証されていないリモートエクスプロイト
CVE-2024-9138 CVSS 3.1: 7.2

AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

 

なし
CVSS 4.0: 8.6

AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

 

CVE-2024-9140 CVSS 3.1: 9.8

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

重大 あり
CVSS 4.0: 9.3

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

注意:このアドバイザリでは、重大度レベルを決定するための基準としてCVSS 3.1を使用しています。CVSS 4.0は比較のための参照用基準として提供されています。 

影響を受ける製品およびソリューション

CVE-2024-9138の影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下のとおりです。

製品シリーズ  影響を受けるバージョン
EDR-810 シリーズ ファームウェアバージョン 5.12.37 以前
EDR-8010 シリーズ ファームウェアバージョン 3.13.1 以前
EDR-G902 シリーズ ファームウェアバージョン 5.7.25 以前
EDR-G903 シリーズ ファームウェアバージョン 5.7.25 以前
EDR-G9004 シリーズ ファームウェアバージョン 3.13.1 以前
EDR-G9010 シリーズ ファームウェアバージョン 3.13.1 以前
EDF-G1002-BP シリーズ ファームウェアバージョン 3.13.1 以前
NAT-102 シリーズ ファームウェアバージョン 1.0.5 以前
OnCell G4302-LTE4 シリーズ ファームウェアバージョン 3.13 以前
TN-4900 シリーズ ファームウェアバージョン 3.13 以前

 

CVE-2024-9140の影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下のとおりです。

製品シリーズ 影響を受けるバージョン
EDR-8010 シリーズ ファームウェアバージョン 3.13.1 以前
EDR-G9004 シリーズ ファームウェアバージョン 3.13.1 以前
EDR-G9010 シリーズ ファームウェアバージョン 3.13.1 以前
EDF-G1002-BP シリーズ ファームウェアバージョン 3.13.1 以前
NAT-102 シリーズ ファームウェアバージョン 1.0.5 以前
OnCell G4302-LTE4 シリーズ ファームウェアバージョン 3.13 以前
TN-4900 シリーズ ファームウェアバージョン 3.13 以前

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法を策定しました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
EDR-810 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDR-8010 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDR-G902 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDR-G903 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDR-G9004 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDR-G9010 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
EDF-G1002-BP シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください
NAT-102 シリーズ ファームウェアバージョン 3.15以降のバージョンにアップグレードしてください
OnCell G4302-LTE4 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
TN-4900 シリーズ ファームウェアバージョン 3.14以降のバージョンにアップグレードしてください

 

緩和策

  • ネットワークの露出を最小限に抑え、インターネットからデバイスにアクセスできないようにしてください。
  • ファイアウォールルールまたはTCPラッパーを使用して、信頼できるIPアドレスおよびネットワークへのSSHアクセスを制限してください。
  • 悪用の試みを検出して防止できるよう、侵入検知システム(IDS)または侵入防止システム(IPS)を実装してください。これらのシステムは、ネットワークトラフィックを監視して攻撃の兆候を検出することで、追加の防御層を提供できます。

 

脆弱でないことが確認されている製品

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、これらの脆弱性の影響を受けることがわかっています。以下の製品については、これらの脆弱性の影響を受けないことを確認済みです。

  • MRC-1002 シリーズ
  • TN-5900 シリーズ
  • OnCell 3120-LTE-1 シリーズ

 

謝辞

Lars Haulin氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社にお力添えをいただき、お客様へのより良いサービスの提供にご協力いただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2025年1月3日
1.1 TN-4900シリーズの対処方法を更新 2025年1月8日
1.2 製品名を修正 2025年1月10日
1.3 NAT-102シリーズの対処方法を更新 2025年1月15日

関連製品

EDF-G1002-BPシリーズ · EDR-8010シリーズ · EDR-810シリーズ · EDR-G9004シリーズ · EDR-G9010シリーズ · EDR-G902シリーズ · EDR-G903シリーズ · NAT-102シリーズ · OnCell G4302-LTE4シリーズ · TN-4900シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加