GE製スイッチにハードコーディングの脆弱性、ファームウェアにRSA秘密鍵

SSLトラフィックの暗号を解除するためのRSA秘密鍵がファームウェアから入手できる状態になっていた。GEはファームウェアのアップデートで対処した。

» 2015年01月15日 07時31分 公開
[鈴木聖子,ITmedia]

 各国で公共インフラや運輸、産業などのシステムに使われている米General Electric(GE)のマネージドスイッチに、SSL秘密鍵のハードコーディングなどの脆弱性が発見され、米国土安全保障省の産業制御システムセキュリティ担当機関ICS-CERTが1月13日にアドバイザリーを公開して対応を呼び掛けた。

GEのML800スイッチ(GEサイトより)

 ICS-CERTのアドバイザリーによると、GEの「Multilink ML800シリーズ」に2件の脆弱性が報告され、GEで確認したところ、ML1200、ML1600、ML2400、ML810、ML3000、ML3100などのマネージドイーサネットスイッチも影響を受けることが分かった。

 これら脆弱性はリモートで悪用される恐れがあり、既に情報が一般に公開されている。ただ現時点で攻撃の発生は確認されていないという。

 ハードコーディングの脆弱性では、SSLトラフィックの暗号を解除するためのRSA秘密鍵がファームウェアから入手できる状態になっていて、攻撃者にトラフィックの暗号を解除される恐れがある。GEはファームウェアの更新版をリリースしてこの問題に対処した。

 もう1件の脆弱性は、Webブラウザ経由で設定を行うためのWebインタフェースに存在する。悪用された場合、攻撃者が細工を施したパケットをWebサーバに送り付ける手口でスイッチの性能を低下させ、Webサーバをサービス妨害(DoS)状態に陥れることができてしまう恐れがある。GEではこの脆弱性を回避するため、本番環境に導入する際はWebサーバを無効にするよう勧告している。

関連キーワード

脆弱性 | SSL | General Electric


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ