2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

SDS-3008シリーズにおける複数のWebの脆弱性

SDS-3008シリーズWebサーバーは、複数の脆弱性による影響を受けます。
- リモート攻撃者によって許可されていない情報の漏えいや、サービス拒否攻撃が実行される可能性があります。
- リモート攻撃者によって無防備なユーザーのブラウザで任意のスクリプトコードを実行される可能性があります。

確認された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1 機密情報の平文転送(CWE-319)
CVE-2022-40693
MoxaのSDS-3008シリーズ産業用イーサネットスイッチv2.1のWebアプリケーション機能には、平文転送に対する脆弱性が存在します。巧妙に細工されたネットワークスニッフィングツールは、機密情報の漏えいにつながる場合があります。攻撃者がネットワークトラフィックを盗聴して、この脆弱性をトリガーできます。
2 不十分なリソースプール(CWE-410)
CVE-2022-40224
MoxaのSDS-3008シリーズ産業用イーサネットスイッチv2.1のWebサーバー機能には、サービス拒否に対する脆弱性が存在します。巧妙に細工されたHTTPメッセージはサービス拒否攻撃につながる場合があります。攻撃者はHTTPリクエストを送信することで、この脆弱性をトリガーできます。
3 Webページ生成時の入力の不適切な中立化(CWE-79)
CVE-2022-41311、CVE-2022-41312、CVE-2022-41313
MoxaのSDS-3008シリーズ産業用イーサネットスイッチv2.1のWebアプリケーション機能には、格納型クロスサイトスクリプティングに対する脆弱性が存在します。巧妙に細工されたHTTPリクエストは、任意のJavaScriptコードの実行につながる場合があります。攻撃者はHTTPリクエストを送信することで、この脆弱性をトリガーできます。
4 情報露出(CWE-200)
CVE-2022-40691
MoxaのSDS-3008シリーズ産業用イーサネットスイッチv2.1のWebアプリケーション機能には、情報漏えいに対する脆弱性が存在します。巧妙に細工されたHTTPリクエストは、機密情報の漏えいにつながる場合があります。攻撃者はHTTPリクエストを送信することで、この脆弱性をトリガーできます。
影響を受ける製品およびソリューション

影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
SDS-3008 シリーズ ファームウェアバージョン2.1以前

 

対処方法:

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品シリーズ ソリューション
SDS-3008 シリーズ セキュリティパッチについては、Moxaのテクニカルサポートまでお問い合わせください。

 

謝辞:

Cisco社のTalosチームには、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴:

バージョン 説明 公開日
1.0 最初の公開 2023年2月2日

関連製品

SDS-3008シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
関連するアドバイザリー
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加