JVNVU#93291811
Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
Crestron Electronics が提供する DM-TXRX-100-STR のウェブ管理画面には複数の脆弱性が存在します。
- DM-TXRX-100-STR firmware version 1.2866.00026 およびそれ以前
Crestron Electronics が提供する DM-TXRX-100-STR は、ネットワークを使用した HD 映像情報を配信するためのストリーミングのエンコーダ / デコーダです。DM-TXRX-100-STR のウェブ管理画面には次の複数の脆弱性が存在します。
クライアントサイド認証の使用 (CWE-603) - CVE-2016-5666
当該製品のウェブ管理画面では、index.html で JavaScript を用いたクライアントサイド認証を使用しています。サーバからのレスポンスを改ざんして objeresp.authenabled == '1' とすることで、攻撃者は認証を回避することが可能です。
リクエストの直接送信 (CWE-425) - CVE-2016-5667
当該製品のウェブ管理画面でクライアント認証が行われるのは index.html のみのため、攻撃者は index.html より深い階層の URI に直接アクセスすることで、認証を回避することが可能です。
重要な機能に対する認証の欠如 (CWE-306) - CVE-2016-5668
当該製品ウェブ管理画面は JSON API を提供しています。API 経由のアクセスは認証を求められないため、攻撃者は API を使用して当該製品の設定を変更することが可能です。
暗号鍵がハードコードされている問題 (CWE-321) - CVE-2016-5669
当該製品の HTTPS 通信には、安全でない既知の X.509 証明書を使用しています。攻撃者は当該製品に対して、なりすまし、中間者攻撃 (man-in-the-middle attack)、傍受した暗号通信の解読が可能です。
証明書やパスワードの管理 (CWE-255) - CVE-2016-5670
当該製品のウェブ管理画面ではデフォルトの認証情報が admin:admin で固定されています。攻撃者はウェブ管理画面に管理者権限でアクセスしたり、クロスサイトリクエストフォージェリなどの遠隔攻撃にこのデフォルトの認証情報を使用する可能性があります。
クロスサイトリクエストフォージェリ (CWE-352) - CVE-2016-5671
当該製品のウェブ管理画面にはクロスサイトリクエストフォージェリの脆弱性が存在します。ユーザに悪意あるリクエストを実行するよう誘導することで、攻撃者は被害ユーザと同等の権限で振る舞うことが可能です。なお、ほとんどの URI では認証を必要としていないため、通常は被害ユーザがセッションを確立している必要はありませんが、デフォルトの認証情報の問題と組み合わせると、攻撃者が攻撃の一部としてセッションを確立することが可能なため、被害ユーザによるログインも不要となります。
遠隔の第三者によって、複数の手法で当該製品の管理権限を取得され、任意の操作を実行される可能性があります。
アップデートする
開発者によると、ファームウェア version 1.3039.00040 で次の脆弱性が修正されているとのことです。
- クライアントサイド認証の使用 (CWE-603) - CVE-2016-5666
- リクエストの直接送信 (CWE-425) - CVE-2016-5667
- 重要な機能に対する認証の欠如 (CWE-306) - CVE-2016-5668
- 暗号鍵がハードコードされている問題 (CWE-321) - CVE-2016-5669
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。ただし、firmware version 1.3039.00040 ではクロスサイトリクエストフォージェリの脆弱性は修正されていません。CWE-255: Credentials Management - CVE-2016-5670 - was partially addressed in 1.3.39.00040. Users now have the ability to modify the password on the device page of the web interface. Other credentials management enhancements will be implemented in a future firmware release. It is recommended to change the default password on the device page when commissioning the device.
(証明書やパスワードの管理 (CWE-255) - CVE-2016-5670 は、1.3.39.00040 で部分的に修正されました。ユーザはウェブ管理画面の device ページからパスワードを変更できるようになっています。それ以外の認証管理機能は今後のファームウェアリリースで実装される予定です。機器の試運転時、デフォルトパスワードを変更することを推奨します。)
CWE-352: Cross-Site Request Forgery (CSRF) - CVE-2016-5671 - will be addressed in a future release.
(クロスサイトリクエストフォージェリ (CWE-352) - CVE-2016-5671 は、次期ファームウェアバージョンで修正予定です。)
| ベンダ | リンク |
| Crestron Electronics, Inc. | Crestron Electronics Information for VU#974424 |
| Resource Library |
-
CERT/CC Vulnerability Note VU#974424
Crestron Electronics DM-TXRX-100-STR web interface contains multiple vulnerabilities
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
| JPCERT 緊急報告 |
|
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2016-5666 |
|
CVE-2016-5667 |
|
|
CVE-2016-5668 |
|
|
CVE-2016-5669 |
|
|
CVE-2016-5670 |
|
|
CVE-2016-5671 |
|
| JVN iPedia |
