【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について

**本内容は、2023年2月28日に発表した内容の再掲となります。**

  • 概要
    弊社SkyBridge・SkySpiderシリーズの製品のファームウェアに、下記のような脆弱性が発見されました。
    ご利用の通信契約内容(閉域網の利用有無)と製品の設定内容(外部からのWeb設定画面アクセス可否等)によっては、
    悪意ある第三者によって、該当製品システムへの攻撃や破壊、該当製品の設定データ盗用や改ざんが行われる可能性があります。
    該当製品をお使いのお客様におかれましては、下記を参照の上、ご対応いただきますようお願いいたします。
  • 該当製品と対象ファームウェアバージョン
    ・SkyBridge MB-A100/110  Ver. 4.2.0まで
    ・SkyBridge MB-A200    Ver. 01.00.05まで
    ・SkyBridge BASIC MB-A130 Ver. 1.4.1まで
    ・SkySpider MB-R210    Ver. 1.01.00まで
  • 脆弱性の内容と影響
    上記の該当製品・ファームウェアバージョンでは、1. Web設定画面に対して管理者権限でログインされる(MB-A100/A110/A200)
    2. Web設定画面の初期パスワードが単純なため、解読が可能*(MB-A100/A110/A200/A130/R210)
    3. Web設定画面のログイン認証なしにWeb設定コマンドの直接実行が可能(MB-A100/A110/A200/A130)
    4. Web設定画面のHTTPSアクセスに古いプロトコルが使用できる(MB-A200)
    5. Web設定画面のHTTPSアクセスに認証局発行でない証明書を使用している*(MB-A200/A130)
    6. 製品起動時にADBポートにアクセスされる(MB-A200)

    という脆弱性が存在します。そのため、Web設定画面にアクセス可能な悪意ある第三者が
    この脆弱性を利用して、該当製品システムへの攻撃や破壊(1,3,6)、該当製品のデータ盗用や改ざん(1,2,3,4,5)、
    該当製品の任意の内蔵コマンドの実行(1,3,6)等が行われる可能性があります。
    また、上記により該当製品の正常動作が阻害される可能性があります。

  • 対応方法
    製品のファームウェアを本脆弱性に対応した以下バージョンへ更新してください。
    ・SkyBridge MB-A100/110  Ver. 4.2.2以上
    ・SkyBridge MB-A200    Ver. 01.00.07以上
    ・SkyBridge BASIC MB-A130 Ver. 1.4.3以上ファームウェアの更新が困難な場合は、第一に外部からの第三者アクセスを回避する目的で、
    以下のいずれか、または複数の回避策を実施し脆弱性に対するリスク軽減を図ってください。
    ・WAN側からのWebアクセス禁止設定(デフォルトの設定では禁止されています)
    ・インターネット網に接続していない閉域網回線の利用
    ・外部アクセス制限機能でのアクセス可能IPアドレス制限(接続先含め最大4個まで)
    これらの回避策は、上記1~6の各項いずれにも有効となります。

    脆弱性の内容2.*、5.*については、ファームウェア更新では改善いたしません。
    上記、および以下の回避策をお取りください。
    2. Web設定画面の初期パスワード*(MB-A100/A110/A200/A130/R210)
    ・パスワードをセキュリティに強いものに変更(12桁・文字種3種以上使用)
    5. Web設定画面のHTTPSアクセス*(MB-A200/A130)
    ・接続先の正当性証明ができないことを認識の上で使用

  • 関連情報
    JVN#40604023 セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における複数の脆弱性
    JVN#40604023 Multiple vulnerabilities in Seiko Solutions SkyBridge MB-A100/A110/A200/A130 SkySpider MB-R210
  • 謝辞
    本脆弱性の発見者である Necrum Security Labs Thomas J. Knudsen 氏、Samy Younsi 氏、
    および株式会社ラック 飯田 雅裕 氏に感謝申し上げます。

 

該当製品 マニュアル・寸法図・製品仕様書・ファームウエア ダウンロード

下記リンク先より、マニュアル・寸法図・製品仕様書・ファームウエアをダウンロードいただけます。
(※製品をご選択ください)

マルチキャリアLTE対応IoTルーター SkyBridge MB-A200マルチキャリア対応モデル
SkyBridge MB-A200
MB-A200 マニュアル・寸法図・製品仕様書・ファームウエア ダウンロード
マルチキャリア対応モデル SkyBridge MB-A130シリーズマルチキャリア対応モデル
SkyBridge MB-A130シリーズ
MB-A130 マニュアル・寸法図・製品仕様書・ファームウエア ダウンロード
IoT/M2M向け LTE対応無線ルーター SkyBridge MB-A100/110ドコモ回線対応モデル
SkyBridge MB-A100シリーズ
MB-A100/A110 マニュアル・寸法図・製品仕様書・ファームウエア ダウンロード
PoE対応 Wi-Fiアクセスポイント「SkySpider MB-R210」PoE対応 Wi-Fiアクセスポイント
SkySpider MB-R210
MB-R210 マニュアル・寸法図・製品仕様書ダウンロード

 

お問い合わせ先

SkyBridgeコールセンター 0120-881-424
SkyBridgeサポートデスク mbsupport@seiko-sol.co.jp