この記事は会員限定です。会員登録すると全てご覧いただけます。
JPCERT コーディネーションセンター(以下、JPCERT/CC)は2023年4月7日、Korenix Technologyの「Jetwave」に複数の脆弱(ぜいじゃく)性が存在すると発表した。
Jetwaveの脆弱性を利用されると次のような影響を受ける可能性がある。
- JetWaveで使われているオペレーティングシステムにroot権限でアクセスされる。また、当該デバイスが産業用ネットワークの主要デバイスとして機能したり、シリアルポート接続で他のデバイスを制御したりしている場合、対応するネットワーク全体が被害を受ける可能性がある
- 細工されたPOSTリクエストを使い、デバイスを再起動するまでWeb-Serviceが使用できなくなる
修正対象となっている脆弱性は以下の通りだ。
- CVE-2023-23294 - コマンドインジェクションの脆弱性
- CVE-2023-23295 - コマンドインジェクションの脆弱性
- CVE-2023-23296 - リソース枯渇の脆弱性
影響を受けるとされるプロダクトおよびバージョンは以下の通りだ。
- JetWave 2211C V1.6より前のバージョン
- JetWave 2212G バージョンV1.3.T
- JetWave 2212X/2112S バージョンV1.3.0
- JetWave 2411/2111 V1.5より前のバージョン
- JetWave 2411L/2111L V1.6より前のバージョン
- JetWave 2414/2114 V1.4より前のバージョン
- JetWave 2424 V1.3より前のバージョン
- JetWave 2460 V1.6より前のバージョン
- JetWave 3220/3420 V3 V1.7より前のバージョン
- JetWave 4221 HP-E バージョンV1.3.0およびそれより前のバージョン
脆弱性を修正した最新バージョンは既に公開されており、JPCERT/CCは情報を確認することを推奨している。これら脆弱性はコマンドインジェクションおよびリソース枯渇に関連しており、悪用された場合は産業用ネットワーク全体に影響を及ぼす可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.