JVNVU#92653659
ENTTEC 製 Lighting Controllers における複数の脆弱性

ENTTEC が提供する Lighting Controllers には、複数の脆弱性が存在します。

ファームウェアのバージョン 70044_update_05032019-482 およびそれ以前を搭載した次の製品が影響を受けます。

• Datagate Mk2
• Storm 24
• Pixelator
• E-Streamer Mk2 (サポート終了)

Lighting Controllers は ENTTEC が提供する照明機器を制御するためのソフトウェアパッケージです。Lighting Controllers には次の複数の脆弱性が存在します。

• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2019-12776

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

• クロスサイトスクリプティング (CWE-79) - CVE-2019-12774

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

  基本値: 6.1

• 不適切なアクセス制御 (CWE-284) - CVE-2019-12775

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

• 重要な情報に対するアクセス権の不適切な割り当て (CWE-732) - CVE-2019-12777

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

• SSH および SCP にアクセス可能な root ユーザの SSH 鍵がソースコードに直接記述されているため、遠隔の第三者によって root ユーザの権限を取得される - CVE-2019-12776
• Datagate Mk2 の Web 設定ソフトウェアにクロスサイトスクリプティングの脆弱性が存在するため、遠隔の第三者によって悪意のあるコードが実行される - CVE-2019-12774
• 適切なアクセス制御を設定されていないため、遠隔の第三者によって sudo コマンドを使って管理者権限でアクセスされる - CVE-2019-12775
• ディレクトリのアクセス権限を全ユーザが読出・書込・実行が可能な設定にシステムが変換するため、遠隔の第三者によってファイルの変更や実行が行われる - CVE-2019-12777

アップデートする
開発者から RevB (June 2020) firmware が提供されています。また、開発者はアップデートを適用後、製品をロックすることを推奨しています。詳細についてはこちらを参照してください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• ファイヤーウォールやネットワークの分離を適切に設定し、インターネットから当該製品にアクセスできないようにする