公開日:2017/02/16 最終更新日:2017/02/16

JVNVU#93522863
複数の Hughes Satellite Modem に複数の脆弱性

概要

Hughes Network Systems, LLC が提供する複数のブロードバンド衛星モデムには、複数の脆弱性が存在します。

影響を受けるシステム

6.9.0.34 より前のバージョンのファームウェアを使用している次の機器

  • DW7000
  • HN7740S
  • HN7000S/SM

詳細情報

Hughes Network Systems, LLC が提供する複数のブロードバンド衛星モデムには、次の複数の脆弱性が存在します。

  • 不適切な入力値検証 (CWE-20) - CVE-2016-9494
  • 認証情報がハードコードされている問題 (CWE-798) - CVE-2016-9495
  • 重要な機能に対する認証欠如の問題 (CWE-306) - CVE-2016-9496
  • 別のチャネルやパスを介した認証回避 (CWE-288) - CVE-2016-9497

想定される影響

遠隔の第三者によって、当該機器に対するサービス運用妨害 (DoS) 攻撃が行われたり、当該機器を再起動させられたり、当該機器上で任意のコマンドを実行されたりする可能性があります。

対策方法

ファームウエアをアップデートし、適切な設定を行う
ファームウェアバージョン 6.9.0.34 以上を適用したうえで適切な設定を行ってください。

開発者は次のように述べています。

"The Hughes system has the ability to configure the modem which will prevent access and exploitation of the listed potential vulnerabilities. Hughes has provided service providers with documentation on the parameters and current software versions required to address these potential vulnerabilities. Customers should contact their service provider to ensure the locked down configuration is pushed to their devices."

ベンダ情報

ベンダ リンク
Hughes Network Systems, LLC Broadband Satellite Modems, Routers, and Appliances

参考情報

  1. CERT/CC Vulnerability Note VU#614751
    Hughes satellite modems contain multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-9494
CVE-2016-9495
CVE-2016-9496
CVE-2016-9497
JVN iPedia