2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

CVE-2002-20001:ディフィー・ヘルマン鍵交換プロトコルにおけるリソース枯渇の脆弱性

ディフィー・ヘルマン鍵交換プロトコルの実装には、リソース枯渇の脆弱性(CVE-2002-20001)が存在します。

ディフィー・ヘルマン鍵交換プロトコルでは、リモートの攻撃者が(クライアント側から)公開鍵を装った任意の数値を送信し、サーバー側に計算コストの高いDHEモジュラー累乗計算を実行させることが可能です。この攻撃は、D(HE)atまたはD(HE)ater攻撃とも呼ばれています。クライアントが必要とするCPUリソースやネットワーク帯域幅はごくわずかです。クライアントがサーバーに対し、サポートされる最大の鍵サイズを選択させることが可能な場合、攻撃の影響はさらに深刻になります。基本的な攻撃シナリオでは、クライアントがDHEのみの通信機能を要求し、サーバーがDHEを許可するように設定されている必要があります。

この脆弱性は、DHE暗号スイートを受け入れるすべての製品またはサービスに影響します。このリスクを軽減するために、Moxaは影響を受ける製品向けの対処方法を公開しています。適切な解決策を直ちに適用することをお勧めします。

見つかった脆弱性の種類と潜在的な影響

CVE ID 脆弱性の種類 影響
CVE-2002-20001

CWE-400:制御されていないリソース消費

攻撃者は、サーバーに高コストのモジュラー指数演算を強制的に実行させる可能性があります。これにより、サーバー側のCPU使用率が大幅に上昇し、サービスの可用性が低下したり、完全なサービス拒否状態に陥ったりする可能性があります。

脆弱性評価の詳細

CVE ID
ベーススコア
ベクター
重大度

認証されていないリモートエクスプロイト

CVE-2002-20001 

CVSS:3.1: 7.5 

AV:N/AC:L/PR:N/UI:N/S:U/ C:N/I:N/A:H 

あり
影響を受ける製品およびソリューション

CVE-2002-20001の影響を受ける製品

影響を受ける製品とファームウェアバージョンは次の表に記載されています。

製品シリーズ 影響を受けるバージョン
ICS-G7848A シリーズ ファームウェアバージョン5.10以前
ICS-G7850A シリーズ ファームウェアバージョン5.10以前
ICS-G7852A シリーズ ファームウェアバージョン5.10以前

 

対処方法

Moxaはこの脆弱性に対する適切な対処方法をリリースしました。影響を受ける製品への対処方法は以下の表のとおりです。

製品シリーズ 対処方法
ICS-G7848A シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
ICS-G7850A シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。
ICS-G7852A シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

 

緩和策

この脆弱性に関連するリスクを軽減するには、次の対応策を実施することをお勧めします。

  • セキュリティ体制をさらに強化するには、「一般的なセキュリティ推奨事項」セクションを参照してください。

 

一般的なセキュリティ推奨事項

デバイスとネットワークを保護するために、以下の推奨事項を実装して潜在的なリスクを軽減することをお勧めします。

  1. ネットワークアクセスの制限
    • ファイアウォールまたはアクセス制御リスト(ACL)を使用して、信頼できるIPアドレスとネットワークへの通信を制限します。
    • VLANを使用するか物理的に分離することで、運用ネットワークを他のネットワーク(エンタープライズネットワークなど)から隔離します。
  2. 露出の最小化
    • デバイスをインターネットに直接公開しないようにします。
    • 使用されていないネットワークサービスとポートを無効にして、攻撃対象領域を減らします。
  3. デバイス認証とアクセス制御の強化
    • 重要なシステムにアクセスするための多要素認証(MFA)を実装します。
    • ロールベースのアクセス制御(RBAC)を使用して、最小権限の原則を適用します。
  4. ファームウェアとソフトウェアの定期的な更新
    • デバイスを最新のファームウェアバージョンとセキュリティパッチで更新します。
    • 新たに特定された脆弱性に対処するために、定期的なパッチ管理スケジュールを確立します。
  5. セキュアなリモートアクセス
    • リモートアクセスには暗号化された通信プロトコル(VPN、SSHなど)を使用します。
    • リモートアクセスを許可された担当者のみに制限し、強力な認証メカニズムを適用します。
  6. 異常検出技術の実装
    • ネットワークトラフィックとデバイスの動作を監視して、異常なアクティビティや不正なアクティビティがないかどうかを確認します。
    • 異常を識別し、潜在的な脅威に関するアラートを提供できるツールや技術を使用します。
  7. ロギングと監視の実装
    • イベントロギングを有効にし、デバイスで監査証跡を維持します。
    • ログを定期的に確認して、異常や不正なアクセス試行がないかどうかを確認します。
  8. 定期的なセキュリティ評価の実施
    • 脆弱性評価を実施して潜在的なリスクを特定します。
    • デバイスの構成を定期的に確認して、会社のセキュリティポリシーに準拠していることを確認します。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2025年7月2日

関連製品

ICS-G7848Aシリーズ · ICS-G7850Aシリーズ · ICS-G7852Aシリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加