ニュース
産業ネットワーク装置に脆弱性 制御OS乗っ取りの可能性も
Korenix Technologyが提供する産業用ネットワーク装置である「Jetwave」に複数の脆弱(ぜいじゃく)性が存在することが分かった。
JPCERT コーディネーションセンター(以下、JPCERT/CC)は2023年4月7日、Korenix Technologyの「Jetwave」に複数の脆弱(ぜいじゃく)性が存在すると発表した。
Jetwave製品に存在する脆弱性 影響範囲と対象プロダクトは
Jetwaveの脆弱性を利用されると次のような影響を受ける可能性がある。
- JetWaveで使われているオペレーティングシステムにroot権限でアクセスされる。また、当該デバイスが産業用ネットワークの主要デバイスとして機能したり、シリアルポート接続で他のデバイスを制御したりしている場合、対応するネットワーク全体が被害を受ける可能性がある
- 細工されたPOSTリクエストを使い、デバイスを再起動するまでWeb-Serviceが使用できなくなる
修正対象となっている脆弱性は以下の通りだ。
- CVE-2023-23294 - コマンドインジェクションの脆弱性
- CVE-2023-23295 - コマンドインジェクションの脆弱性
- CVE-2023-23296 - リソース枯渇の脆弱性
影響を受けるとされるプロダクトおよびバージョンは以下の通りだ。
- JetWave 2211C V1.6より前のバージョン
- JetWave 2212G バージョンV1.3.T
- JetWave 2212X/2112S バージョンV1.3.0
- JetWave 2411/2111 V1.5より前のバージョン
- JetWave 2411L/2111L V1.6より前のバージョン
- JetWave 2414/2114 V1.4より前のバージョン
- JetWave 2424 V1.3より前のバージョン
- JetWave 2460 V1.6より前のバージョン
- JetWave 3220/3420 V3 V1.7より前のバージョン
- JetWave 4221 HP-E バージョンV1.3.0およびそれより前のバージョン
脆弱性を修正した最新バージョンは既に公開されており、JPCERT/CCは情報を確認することを推奨している。これら脆弱性はコマンドインジェクションおよびリソース枯渇に関連しており、悪用された場合は産業用ネットワーク全体に影響を及ぼす可能性がある。
関連記事
- エレコムのルーター製品に脆弱性 選択肢は利用停止と買い替えのみ
エレコムのルーター製品に脆弱性が見つかった。コマンドインジェクションや任意コマンドの実行が可能だと指摘されている。脆弱性が存在するルーター製品はすでにサポートが終了しているため、修正プログラムは提供されない。該当する製品の使用を停止し、現行製品へ移行することが推奨されている。 - Trend Microのセキュリティ製品に「重要」の脆弱性 すでに悪用を確認済み
Trend Microの複数製品に脆弱性が見つかった。深刻度は「重要」と分類されている。同脆弱性はすでに悪用が確認されており注意が必要だ。該当製品を使っている場合には迅速なアップデート適用が求められる。 - ChatGPTはおしゃべりな友達 “機密情報の漏えいリスク”に要注意
「ChatGPT」は企業に効率化をもたらすが、機密情報の取り扱いには注意が必要だ。複数のセキュリティベンダーがChatGPTに機密情報や個人情報を入力すると、データ漏えいにつながるリスクがあると警鐘を鳴らしている。 - AppleがiOSとiPadOSの重要なゼロデイ脆弱性を修正 直ちに更新を
Appleは「iOS」と「iPadOS」の脆弱性を確認し、アップデートを提供している。この脆弱性は既に悪用されており、該当デバイスを利用しているユーザーは直ちにアップデートを適用してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.