2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

OnCell G3150A-LTEシリーズにおける複数Webアプリケーションの脆弱性およびセキュリティ強化

バージョン1.3以前のOnCell G3150A-LTEシリーズは、複数Webアプリケーションの脆弱性による影響を受けます(CVE-2004-2761、CVE-2013-2566、CVE-2016-2183、CVE-2023-6093、およびCVE-2023-6094)。これらの脆弱性は、脆弱な暗号アルゴリズムと暗号スイートを適用することにより引き起こされ、フレームオブジェクトが不適切に制限されます。これらの脆弱性が悪用されると、不正アクセスやWebアプリケーションへの予期せぬユーザー操作が起こる可能性があります。

発見された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1

暗号化の問題(CWE-310)

CVE-2004-2761 

この脆弱性は、コンテキスト依存の攻撃者によるスプーフィング攻撃を容易にする可能性があります。
2

不十分な暗号強度(CWE-326)

CVE-2013-2566 

この脆弱性は、リモートの攻撃者が、同じ平文を使用している多数のセッションでの暗号文の統計分析を介した平文回復攻撃をより容易にする可能性があります。
3

権限のない行為者に機密情報が漏えい(CWE-200)

CVE-2016-2183 

この脆弱性は、リモートの攻撃者が、長時間の暗号化セッションに対して誕生日攻撃を仕掛け、平文データを取得するのをより容易にする可能性があります。
4

レンダリングされたUIレイヤーまたはフレームの不適切な制限(クリックジャッキング)(CWE-1021)

CVE-2023-6093 

この脆弱性によって、攻撃者はユーザーをだましてアプリケーションを操作させる可能性があります。
5

機密情報の平文転送(CWE-319)

CVE-2023-6094 

この脆弱性によって、攻撃者がユーザーアカウントへアクセスし、そのユーザーアカウントが使用している機密データにアクセスする可能性があります。

 

脆弱性評価の詳細

ID 

CVSS 

ベクター

重大度

認証なしのリモートエクスプロイトの可能性 

CVE-2004-2761 

5.0 

AV:N/AC:L/AU:N/C:N/I:P/A:N 

あり

CVE-2013-2566 

5.9 

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 

あり

CVE-2016-2183 

7.5 

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 

あり

CVE-2023-6093 

5.3 

AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N 

あり

CVE-2023-6094 

5.3 

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 

あり

影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
OnCell G3150A-LTE シリーズ ファームウェアバージョンv1.3以前

 

対処方法

Moxaは、脆弱性(CVE-2004-2761、CVE-2013-2566、CVE-2016-2183)に対する適切な対処方法をリリースし、次のセキュリティ強化を実装しました。

  • 脆弱な暗号スイートとアルゴリズムを承認されたものに置き換えます。

影響を受ける製品への対処方法は以下の通りです。

製品シリーズ 対処方法
OnCell G3150A-LTE シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

緩和策

Oncell G3150A-LTEは段階的に廃止されているため、CVE-2023-6093およびCVE-2023-6094に対処する予定はありません。次の緩和策にしたがって、適切な製品セキュリティコンテキストで製品を展開することを推奨します。

必要に応じて、次の緩和策を実施することをお勧めします。

  • すべての制御システムデバイスとシステムにインターネットからアクセスできないようにすることで、ネットワークの露出を削減する。

  • 制御システムのネットワークとリモートデバイスをファイヤーウォールの内側に置き、業務ネットワークから分離する。

  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用する。VPNは脆弱性が存在する場合があり、入手可能な最新のバージョンを使用して常に最新の状態に保つことが重要です。VPNのセキュリティは、接続されているデバイスのセキュリティによって左右される点に留意してください。

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2023年12月29日

関連製品

OnCell G3150A-LTEシリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加