2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

複数のMoxaイーサネットスイッチが、CVE-2023-48795およびCVE-2019-20372の影響を受けます

複数のMoxaイーサネットスイッチが、脆弱性CVE-2023-48795およびCVE-2019-20372の影響を受けます。これらの脆弱性は、影響を受ける製品の完全性と機能に影響を及ぼす可能性のある潜在的なセキュリティリスクをもたらします。


見つかった脆弱性の種類と潜在的な影響

項目 脆弱性の種類 影響
1

完全性検証不備の脆弱性(CWE-354)

CVE-2023-48795

これにより、リモートの中間者攻撃者が完全性チェックを回避し、接続のセキュリティを低下させる可能性があります。
2

HTTPリクエストの一貫性のない解釈(「HTTPリクエスト/レスポンススマグリング」)(CWE-444)

CVE-2019-20372

これにより、HTTPリクエストのスマグリングが可能になり、Webページへの不正アクセスや、セキュリティ制御の回避などの攻撃につながる可能性があります。

脆弱性評価の詳細

CVE ID
ベーススコア
ベクター

認証されていないリモートエクスプロイト

CVE-2023-48795

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

あり
CVE-2019-20372 5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

あり
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ Affected Versions
MDS-G4012 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4012-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028-L3 シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4012-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4012-L3-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4020-L3-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン
MDS-G4028-L3-4XGS シリーズ ファームウェアバージョン 4.0 以前のバージョン

 

対処方法

Moxaはこの脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
MDS-G4012 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4012-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028-L3 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4012-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4012-L3-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4020-L3-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください
MDS-G4028-L3-4XGS シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください

 

緩和策

  • CVE-2023-48795:脆弱な拡張機能を無効にすることで、攻撃ベクトルの悪用を防ぐことができます。加えて、ネットワークセグメンテーションを実装することで攻撃対象領域を限定させ、潜在的な侵害を封じ込めることができます。

  • CVE-2019-20372:適切な設定により、エラーページが安全に処理されるようになり、悪用を防ぐことができます。さらに、Webアプリケーションファイアウォール(WAF)は、潜在的に有害なリクエストをNGINXへ到達する前にフィルタリングすることで、追加のセキュリティレイヤーを提供します。

 

脆弱でないことが確認されている製品

このアドバイザリの「影響を受ける製品」セクションのリストに挙げられた製品のみが、これらの脆弱性の影響を受けることがわかっています。以下の製品については、これらの脆弱性の影響を受けないことを確認済みです。

  • EDS-205Aシリーズ、EDS-208Aシリーズ、EDS-405Aシリーズ、EDS-408Aシリーズ、EDS-505Aシリーズ、EDS-508Aシリーズ、EDS-510Aシリーズ、EDS-516Aシリーズ、EDS-518Aシリーズ、EDS-G205Aシリーズ、EDS-P206Aシリーズ、EDS-P510Aシリーズ
  • PT-7528シリーズ、PT-G503シリーズ、PT-G510シリーズ、PT-G7728シリーズ、PT-G7828シリーズ
  • 生産終了製品:PT-7728シリーズ、PT-7828シリーズ

 

改訂履歴

バージョン 説明 公開日
1.0 初版 2024年11月 1日
1.1 対処方法の更新 2024年11月 22日

関連製品

MDS-G4012-4XGSシリーズ · MDS-G4012-L3-4XGSシリーズ · MDS-G4012-L3シリーズ · MDS-G4012シリーズ · MDS-G4020-4XGSシリーズ · MDS-G4020-L3-4XGSシリーズ · MDS-G4020-L3シリーズ · MDS-G4020シリーズ · MDS-G4028-4XGSシリーズ · MDS-G4028-L3-4XGSシリーズ · MDS-G4028-L3シリーズ · MDS-G4028シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加