- 概要
弊社SkyBridge/SkyBridge BASICシリーズの製品のファームウェアに、下記のような脆弱性が発見されました。
使用通信回線の契約内容と製品の設定内容(外部からの遠隔監視アクセス可否等)によっては、悪意ある第三者によって、該当製品を含むシステムへの攻撃や破壊、該当製品の設定データ盗用や改ざんが行われる可能性があります。
該当製品をお使いのお客様におかれましては、下記を参照の上、ご対応いただきますようお願いいたします。 - 該当製品と対象ファームウェアバージョン
・SkyBridge MB-A100/110 Ver. 4.2.2まで
・SkyBridge BASIC MB-A130 Ver. 1.5.5まで - 脆弱性の内容と影響
上記の対象製品・ファームウェアバージョンでは、
・ログイン認証なしにコマンドの実行が可能
という脆弱性が存在します。そのため、製品外部からアクセス可能な悪意ある第三者がこの脆弱性を利用して、システムへの攻撃や破壊、データ盗用や改ざん、任意の内蔵コマンドの実行や管理者権限でのログイン等が行われる可能性があります。
また、上記により該当製品の正常動作が阻害される可能性があります。 - 対応方法
製品のファームウェアを本脆弱性に対応した以下バージョンへ更新してください。
・SkyBridge MB-A100/110 Ver. 4.2.3以上
・SkyBridge BASIC MB-A130 Ver. 1.5.7以上
ファームウェアの更新が困難な場合は、第一に外部からの第三者アクセスを回避する目的で、下のいずれか、または複数の対策を実施し、脆弱性に対するリスク軽減を図ってください。
(回避策)
・遠隔監視制御の無効化
・遠隔監視制御における、認証の有効化、または暗号化の有効化
(軽減策)
・インターネット網に接続していない閉域網回線の利用 - 関連情報
JVNVU#94872523 セイコーソリューションズ製 SkyBridge MB-A100/MB-A110 および SkyBridge BASIC MB-A130 におけるコマンドインジェクションの脆弱性
JVNVU#94872523 Seiko Solutions SkyBridge MB-A100/MB-A110 and SkyBridge BASIC MB-A130 vulnerable to OS command injection - 謝辞
本脆弱性の発見者である 株式会社ゼロゼロワン 早川 宙也 様に感謝申し上げます。
お問い合わせ先
SkyBridgeコールセンター 0120-881-424
SkyBridgeサポートデスク mbsupport@seiko-sol.co.jp