産業ネットワーク装置に脆弱性 制御OS乗っ取りの可能性も

Korenix Technologyが提供する産業用ネットワーク装置である「Jetwave」に複数の脆弱（ぜいじゃく）性が存在することが分かった。

[後藤大地，有限会社オングス]

　JPCERT コーディネーションセンター（以下、JPCERT/CC）は2023年4月7日、Korenix Technologyの「Jetwave」に複数の脆弱（ぜいじゃく）性が存在すると発表した。

Jetwave製品に存在する脆弱性　影響範囲と対象プロダクトは

　Jetwaveの脆弱性を利用されると次のような影響を受ける可能性がある。

• JetWaveで使われているオペレーティングシステムにroot権限でアクセスされる。また、当該デバイスが産業用ネットワークの主要デバイスとして機能したり、シリアルポート接続で他のデバイスを制御したりしている場合、対応するネットワーク全体が被害を受ける可能性がある
• 細工されたPOSTリクエストを使い、デバイスを再起動するまでWeb-Serviceが使用できなくなる

　修正対象となっている脆弱性は以下の通りだ。

• CVE-2023-23294 - コマンドインジェクションの脆弱性
• CVE-2023-23295 - コマンドインジェクションの脆弱性
• CVE-2023-23296 - リソース枯渇の脆弱性

　影響を受けるとされるプロダクトおよびバージョンは以下の通りだ。

• JetWave 2211C V1.6より前のバージョン
• JetWave 2212G バージョンV1.3.T
• JetWave 2212X/2112S バージョンV1.3.0
• JetWave 2411/2111 V1.5より前のバージョン
• JetWave 2411L/2111L V1.6より前のバージョン
• JetWave 2414/2114 V1.4より前のバージョン
• JetWave 2424 V1.3より前のバージョン
• JetWave 2460 V1.6より前のバージョン
• JetWave 3220/3420 V3 V1.7より前のバージョン
• JetWave 4221 HP-E バージョンV1.3.0およびそれより前のバージョン

　脆弱性を修正した最新バージョンは既に公開されており、JPCERT/CCは情報を確認することを推奨している。これら脆弱性はコマンドインジェクションおよびリソース枯渇に関連しており、悪用された場合は産業用ネットワーク全体に影響を及ぼす可能性がある。