公開日:2024/09/30 最終更新日:2024/09/30

JVNVU#91112197
複数のgoTenna製品における複数の脆弱性

概要

goTennaが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-47121、CVE-2024-47122、CVE-2024-47123、CVE-2024-47124、CVE-2024-47125、CVE-2024-47126、CVE-2024-47127、CVE-2024-47128、CVE-2024-47129、CVE-2024-47130

  • goTenna Pro App バージョン1.6.1およびそれ以前
CVE-2024-45374、CVE-2024-43694、CVE-2024-43108、CVE-2024-45838、CVE-2024-45723、CVE-2024-41722、CVE-2024-41931、CVE-2024-41715、CVE-2024-43814
  • goTenna Pro ATAK Plugin バージョン1.9.12およびそれ以前

詳細情報

goTennaが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不十分なパスワード強度(CWE-521)-CVE-2024-47121、CVE-2024-45374
  • 重要な情報のセキュアでない格納(CWE-922)-CVE-2024-47122、CVE-2024-43694
  • 完全性チェックの欠如(CWE-353)-CVE-2024-47123、CVE-2024-43108
  • 重要な情報の平文送信(CWE-319)-CVE-2024-47124、CVE-2024-45838
  • エンドポイントの不適切な制限(CWE-923)-CVE-2024-47125
  • 暗号論的強度が不十分なPRNGの使用(CWE-338)-CVE-2024-47126、CVE-2024-45723
  • 弱い認証(CWE-1390)-CVE-2024-47127、CVE-2024-41722
  • 送信データへの機微な不要情報の挿入(CWE-201)-CVE-2024-47128、CVE-2024-41931、CVE-2024-43814
  • リクエストへの応答の違いに起因する情報漏えい(CWE-204)-CVE-2024-47129、CVE-2024-41715
  • 重要な機能に対する認証の欠如(CWE-306)-CVE-2024-47130

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 暗号化して送信されたブロードキャストメッセージを復号化される(CVE-2024-47121、CVE-2024-45374)
  • 暗号化された通信を復号化される(CVE-2024-47122、CVE-2024-43694)
  • メッセージを改ざんされる(CVE-2024-47123、CVE-2024-43108)
  • ユーザ情報が漏えいする(CVE-2024-47124、CVE-2024-45838)
  • 認証されていない攻撃者によって、メッセージを傍受されたり操作されたりする(CVE-2024-47125)
  • 使用されているランダム関数が暗号化の使用に適さない(CVE-2024-47126、CVE-2024-45723)
  • 任意のGIDおよびコールサインを持つカスタムメッセージを挿入される(CVE-2024-47127、CVE-2024-41722)
  • ブロードキャストキー名を取得される(CVE-2024-47128、CVE-2024-41931)
  • ペイロードの長さを取得される(CVE-2024-47129、CVE-2024-41715)
  • 遠隔の認証されていない攻撃者によって、ローカルの公開鍵を更新される(CVE-2024-47130)
  • 位置情報を取得される(CVE-2024-43814)

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。

参考情報

  1. ICS Advisory | ICSA-24-270-04
    goTenna Pro X and Pro X2
  2. ICS Advisory | ICSA-24-270-05
    goTenna Pro ATAK Plugin

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia