2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。
ログイン
ホーム 製品サポート セキュリティアドバイザリ Linuxカーネルメモリの二重解放脆弱性の影響を受ける 複数のMoxa製品シリーズ

製品サポート

セキュリティアドバイザリ

登録してください

パスワードをお忘れですか?
ログイン
次回から自動的にログイン
メンバーではありませんか? 今すぐ登録する
概要

Linuxカーネルメモリの二重解放脆弱性の影響を受ける複数のMoxa製品シリーズ

  • アドバイザリーID: MPSA-249807
  • バージョン: V1.0
  • 公開日: 2024年7月10日
  • 参考:

複数のMoxa製品シリーズが、Linuxカーネルメモリの二重解放脆弱性の影響を受けます。Linuxカーネルのnetfilter: nf_tablesコンポーネントの解放後使用の脆弱性が悪用されることで、システムの破壊やローカル権限の昇格が発生する可能性があります。

見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1

解放後使用(CWE-416)

CVE-2024-1086

 攻撃者はこの脆弱性を悪用してローカル権限の昇格や、システムクラッシュを引き起こす可能性があります。

脆弱性評価の詳細

ID
CVSS v3.1スコア
ベクター
重大度
認証されていないリモートエクスプロイト
CVE-2024-1086

7.8

 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H なし
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
ioThinx 4530 シリーズ ファームウェアバージョン 2.0 以前
ioPAC 8600 シリーズ ファームウェアバージョン 2.1 以前
EDS-4000 シリーズ ファームウェアバージョン 3.2 以前
EDS-G4000 シリーズ ファームウェアバージョン 3.2 以前
EDR-G9010 シリーズ ファームウェアバージョン3.12.1以前
EDR-8010 シリーズ ファームウェアバージョン3.12.1以前
NAT-102 シリーズ ファームウェアバージョン1.0.5以前
OnCell G4302-LTE4 ファームウェアバージョン3.9.0以前
MXsecurity ファームウェアバージョン 2.0 以前
UC-1200A シリーズ ファームウェアバージョン 1.1 以前
UC-2200A シリーズ ファームウェアバージョン 1.1 以前
UC-2100 シリーズ ファームウェアバージョン 1.14 以前
UC-3100 シリーズ ファームウェアバージョン 1.8 以前
UC-5100 シリーズ ファームウェアバージョン 1.6 以前
UC-8100 シリーズ ファームウェアバージョン 3.7 以前
UC-8100-ME シリーズ ファームウェアバージョン 3.3 以前
UC-8100A-ME-T シリーズ ファームウェアバージョン 1.7 以前
UC-8200 シリーズ ファームウェアバージョン 1.7 以前
UC-8410A シリーズ ファームウェアバージョン 4.3.2 以前
UC-8540 シリーズ ファームウェアバージョン 2.3 以前
UC-8580 シリーズ ファームウェアバージョン 2.3 以前
V2406C シリーズ ファームウェアバージョン 1.3 以前
V2201 シリーズ ファームウェアバージョン 2.1 以前
V2403C シリーズ ファームウェアバージョン 1.1 以前
DA-820C シリーズ ファームウェアバージョン 1.2 以前
DA-682C シリーズ ファームウェアバージョン 1.3 以前
DA-681C シリーズ ファームウェアバージョン 1.2 以前
DA-681A シリーズ ファームウェアバージョン 1.0 以前
DA-720 シリーズ ファームウェアバージョン 1.0 以前
MC-1100 シリーズ ファームウェアバージョン 2.0 以前
MC-7400 シリーズ ファームウェアバージョン 1.0 以前
MPC-2070 シリーズ ファームウェアバージョン 1.0 以前
MPC-2101 シリーズ ファームウェアバージョン 1.0 以前
MPC-2120 シリーズ ファームウェアバージョン 1.0 以前
MPC-2121 シリーズ ファームウェアバージョン 1.0 以前
MPC-2190 シリーズ ファームウェアバージョン 1.0 以前
MPC-2240 シリーズ ファームウェアバージョン 1.0 以前
EXPC-1519 シリーズ ファームウェアバージョン 1.0 以前
MPC-2150 シリーズ ファームウェアバージョン 1.0 以前
BXP-C100 シリーズ ファームウェアバージョン 1.0 以前
DRP-C100 シリーズ ファームウェアバージョン 1.0 以前
DRP-A100 シリーズ ファームウェアバージョン 1.0 以前
TN-4900 シリーズ ファームウェアバージョン3.6以前
AIG-301 シリーズ ファームウェアバージョン 1.5.1 以前
AIG-302 シリーズ ファームウェアバージョン 1.0 以前

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
ioThinx 4530 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
ioPAC 8600 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
EDS-4000 シリーズ ファームウェアをv4.1以降にアップグレードしてください。
EDS-G4000 シリーズ ファームウェアをv4.1以降にアップグレードしてください。
EDR-G9010シリーズ ファームウェアをv3.13以降にアップグレードしてください。
EDR-8010シリーズ ファームウェアをv3.13以降にアップグレードしてください。
NAT-102シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
OnCell G4302-LTE4シリーズ ファームウェアをv3.13.0以降にアップグレードしてください。
MXsecurity ファームウェアをv2.1.0以降にアップグレードしてください。
UC-1200A シリーズ 緩和策をご覧ください。
UC-2200A シリーズ 緩和策をご覧ください。
UC-2100 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-3100 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-5100 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8100 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8100-ME シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8100A-ME-T シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8200 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8410A シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8540 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
UC-8580 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
V2406C シリーズ 緩和策をご覧ください。
V2201 シリーズ 緩和策をご覧ください。
V2403C シリーズ 緩和策をご覧ください。
DA-820C シリーズ 緩和策をご覧ください。
DA-682C シリーズ 緩和策をご覧ください。
DA-681C シリーズ 緩和策をご覧ください。
DA-681A シリーズ 緩和策をご覧ください。
DA-720 シリーズ 緩和策をご覧ください。
MC-1100 シリーズ 緩和策をご覧ください。
MC-7400 シリーズ 緩和策をご覧ください。
MPC-2070 シリーズ 緩和策をご覧ください。
MPC-2101 シリーズ 緩和策をご覧ください。
MPC-2120 シリーズ 緩和策をご覧ください。
MPC-2121 シリーズ 緩和策をご覧ください。
MPC-2190 シリーズ 緩和策をご覧ください。
MPC-2240 シリーズ 緩和策をご覧ください。
EXPC-1519 シリーズ 緩和策をご覧ください。
MPC-2150 シリーズ 緩和策をご覧ください。
BXP-C100 シリーズ 緩和策をご覧ください。
DRP-C100 シリーズ 緩和策をご覧ください。
DRP-A100 シリーズ 緩和策をご覧ください。
TN-4900シリーズ ファームウェアをv3.13以降にアップグレードしてください。
AIG-301 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
AIG-302 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

 

緩和策

  • インターネットからデバイスにアクセスできないようにすることで、ネットワークの露出を最小限に抑えてください。
  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用してください。
  • 制御システムのネットワークとリモートデバイスをファイアウォールの内側に置き、業務ネットワークから分離してください。

 

補足情報

Moxaのセキュアルータシリーズは、多層防御ソフトウェア設計による保護機能を備えています。現在、この脆弱性は、承認されたユーザーがアクセスできない状態のままになっています。Moxaセキュアルータシステム内でサードパーティパッケージの欠陥が発生した場合でも、OTシステムの動作に直ちに影響が出るという明確な証拠はありません。製品チームは現在、サードパーティパッケージの欠陥を排除する対処方法に取り組んでいます。悪用されるリスクを最小限に抑えるために、Moxaはユーザーに対し、推奨される緩和策を実装することを勧めています。ここで提供される緩和策は、脆弱性の影響を軽減し、システムの整合性を保護するように設計されています。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2024年7月10日
1.1 以下シリーズの対処方法を更新:UC-1200Aシリーズ、UC-2200Aシリーズ、V2406Cシリーズ、V2201シリーズ、V2403Cシリーズ、DAシリーズ、MCシリーズ、MPCシリーズ、EXPC-1519シリーズ、BXP-C100シリーズ、DRPシリーズ 2024年10月8日
1.2 影響を受ける製品および対処方法で、以下のシリーズの内容を更新:EDR-8010シリーズ、EDR-G9010シリーズ、NAT-102シリーズ、OnCell G4302-LTE4シリーズ、TN-4900シリーズ 2024年10月21日

関連製品

AIG-301シリーズ · AIG-302シリーズ · BXP-C100シリーズ · DA-681Aシリーズ · DA-681Cシリーズ · DA-682Cシリーズ · DA-720シリーズ · DA-820Cシリーズ · DRP-A100シリーズ · DRP-C100シリーズ · EDR-8010シリーズ · EDR-G9010シリーズ · EDS-4008シリーズ · EDS-4009シリーズ · EDS-4012シリーズ · EDS-4014シリーズ · EDS-G4008シリーズ · EDS-G4012シリーズ · EDS-G4014シリーズ · EXPC-1519シリーズ · ioPAC 8600シリーズ · ioThinx 4530シリーズ · MC-1100シリーズ · MC-7400シリーズ · MPC-2070シリーズ · MPC-2101シリーズ · MPC-2120シリーズ · MPC-2121シリーズ · MPC-2150シリーズ · MPC-2190シリーズ · MPC-2240シリーズ · MXsecurityシリーズ · NAT-102シリーズ · OnCell G4302-LTE4シリーズ · TN-4900シリーズ · UC-1200Aシリーズ · UC-2100シリーズ · UC-2200Aシリーズ · UC-3100シリーズ · UC-5100シリーズ · UC-8100A-ME-Tシリーズ · UC-8100-ME-Tシリーズ · UC-8100シリーズ · UC-8200シリーズ · UC-8410Aシリーズ · UC-8540シリーズ · Uc-8580シリーズ · V2201シリーズ · V2403Cシリーズ · V2406Cシリーズ ·

  •   このページを印刷

  • 保存
    My Moxaで保存したリストを管理および共有できます。
関連するアドバイザリー
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する

個人情報の共有を禁じます

クロスコンテキスト行動広告のために個人情報の共有を希望しない場合には、以下のフォームに必要事項を記入して送信してください。


フォームへの入力をした場合でも、他のウェブサイトで当社の広告が表示される場合があることにご注意ください。これらの広告はあなたの興味との関連性がない可能性があります。

 
 
 
バッグに追加

バッグを見る

現在、日本 / 日本語サイトにアクセスしています。
お住まいの地域のサイトにアクセスしますか?