- 概要
弊社SkyBridge BASIC製品のファームウェアに、下記のような脆弱性が発見されました。
使用通信回線の契約内容と製品の設定内容(WANおよびLANからのWeb-UIアクセスの可否等)によっては、悪意ある第三者によって、該当製品を含むシステムへの攻撃や破壊、該当製品の設定データ盗用や改ざんが行われる可能性があります。
該当製品をお使いのお客様におかれましては、下記を参照の上、ご対応いただきますようお願いいたします。
なお、弊社出荷時(初期値)ではWeb-UIのアクセスはWANからは無効、LANからは有効となっております。 - 該当製品と対象ファームウェアバージョン
・SkyBridge BASIC MB-A130 Ver. 1.5.8まで - 脆弱性の内容と影響
上記の対象製品・ファームウェアバージョンでは、
・Web-UIにてログイン認証なしにコマンドの実行が可能
という脆弱性が存在します。そのため、製品外部からアクセス可能な悪意ある第三者がこの脆弱性を利用して、システムへの攻撃や破壊、データ盗用や改ざん、任意の内蔵コマンドの実行や管理者権限でのログイン等が行われる可能性があります。
また、上記により該当製品の正常動作が阻害される可能性があります。 - 対応方法
製品のファームウェアを本脆弱性に対応した以下バージョンへ更新してください。
・SkyBridge BASIC MB-A130 Ver. 1.6.0以上
ファームウェアの更新が困難な場合は、第一に外部からの第三者アクセスを回避する目的で、以下のいずれか、または複数の対策を実施し、脆弱性に対するリスク軽減を図ってください。
(回避策)
・WANおよびLANからのWeb-UIへのアクセスの禁止
(軽減策)
・インターネット網に接続していない閉域網回線の利用 - 関連情報
JVN22016482 セイコーソリューションズ株式会社 SkyBridge MB-A130におけるOSコマンドインジェクションの脆弱性
JVN22016482 Seiko Solutions SkyBridge BASIC MB-A130 vulnerable to OS command injection - 謝辞
本脆弱性の発見者である 三井物産セキュアディレクション株式会社 荒牧 努 様に感謝申し上げます。
お問い合わせ先
SkyBridgeコールセンター 0120-881-424
SkyBridgeサポートデスク mbsupport@seiko-sol.co.jp