公開日:2021/03/04 最終更新日:2021/03/04
JVNVU#94204832
MB Connect line 製 mbCONNECT24 および mymbCONNECT24 に複数の脆弱性
MB Connect line が提供する mbCONNECT24 および mymbCONNECT24 には複数の脆弱性が存在します。
- mymbCONNECT24 v2.6.1 および前のバージョン
- mbCONNECT24 v2.6.1 および前のバージョン
MB Connect line が提供する mbCONNECT24 および mymbCONNECT24 は、リモートメンテナンス用ソフトウェアです。
当該製品には、次の脆弱性が存在します。
- 不適切な権限管理 (CWE-269) - CVE-2020-12527
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - 不適切な権限管理 (CWE-269) - CVE-2020-12528
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - サーバーサイドのリクエストフォージェリ (CWE-918) - CVE-2020-12529
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値: 5.8 - クロスサイトスクリプティング(CWE-79) - CVE-2020-12530
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3 - 不適切な権限管理 (CWE-269) - CVE-2020-35557
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - サーバーサイドのリクエストフォージェリ (CWE-918) - CVE-2020-35558
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値: 5.8 - 制御されていないリソース消費 (CWE-400) - CVE-2020-35559
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 基本値: 4.3 - オープンリダイレクト (CWE-601) - CVE-2020-35560
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3 - サーバーサイドのリクエストフォージェリ (CWE-918) - CVE-2020-35561
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値: 5.8 - クロスサイトスクリプティング (CWE-79) - CVE-2020-35563
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N 基本値: 3.5 - クロスサイトスクリプティング (CWE-79) - CVE-2020-35564
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3 - リソースの安全でないデフォルトの初期化 (CWE-1188) - CVE-2020-35565
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 5.9 - PHPリモートファイルインクルード (CWE-98) - CVE-2020-35566
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 - ハードコードされた資格情報の使用 (CWE-798) - CVE-2020-35567
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8 - 情報漏えい (CWE-200) - CVE-2020-35568
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 基本値: 4.3 - クロスサイトスクリプティング (CWE-79) - CVE-2020-35569
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 3.3 - 認証情報の不十分な保護 (CWE-522) - CVE-2020-35570
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 - 不適切な特権管理 (CWE-269) - CVE-2020-10384
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 不適切なアクセス検証により、ログイン済みのユーザによって、アクセス権を持たないアカウントのデバイス情報を参照される - CVE-2020-12527
- 不適切なアクセス検証により、ログイン済みのユーザによって、アクセス権を持たないアカウントの web2go セッションを強制終了される - CVE-2020-12528
- LDAP アクセスチェックにおけるサーバサイドリクエストフォージェリの問題により、遠隔の第三者によって、開いているポートをスキャンされる - CVE-2020-12529
redirect.phpのクロスサイトスクリプティングの問題により、遠隔の第三者によって、get パラメータを使用してコードを挿入される - CVE-2020-12530- 不適切なアクセス検証により、ログイン済みのユーザによって、アクセスを禁止しているアカウントのデバイス情報を参照される - CVE-2020-35557
- MySQL アクセスチェックにおけるサーバサイドリクエストフォージェリの問題により、遠隔の第三者によって、開いているポートをスキャンされたり、資格情報を取得されたりする - CVE-2020-35558
- 認証された第三者によって、アカウントが利用可能なすべての IP を使い切られることで、新しいデバイスやユーザの作成を妨害される - CVE-2020-35559
redirect.phpの認証されていないオープンリダイレクトの問題により、情報を窃取される - CVE-2020-35560- HA モジュールのサーバサイドリクエストフォージェリの問題によって、認証されていない遠隔の第三者によって、開いているポートをスキャンされる - CVE-2020-35561
- クロスサイトスクリプティングのフィルタが不完全であるため、遠隔の第三者によって、悪意のあるコードを挿入される - CVE-2020-35563
- 利用されていない旧式のコンポーネントが存在しており、遠隔の第三者によって、悪意のあるコードを入力される - CVE-2020-35564
- ログインページに対するブルートフォース検出がデフォルトで無効になっており、遠隔の第三者によって、ログインページを攻撃される - CVE-2020-35565
- ローカルファイルインクルードにより、遠隔の第三者によって、任意の JSON ファイルを窃取される - CVE-2020-35566
- データベースアクセスに必要なパスワードがインスタンス間で共有されており、ローカルの攻撃者によって、データベースにアクセスされ、情報を窃取される - CVE-2020-35567
- データベース応答のフィルタが不完全なため、認証された攻撃者によって、アカウント内の他のユーザやデバイスに関する非公開の情報を窃取される - CVE-2020-35568
- ログインページに細工された Cookie を使用するセルフクロスサイトスクリプティングの問題により、ローカルの攻撃者によって、意図しないスクリプトを実行される - CVE-2020-35569
- 不適切なアクセス検証により、ログイン済みのユーザによって、アクセス権を持たないアカウントの web2go セッションを強制終了される - CVE-2020-35570
- 不適切な特権管理により、www-data アカウントを用いて root アカウントへ権限昇格される - CVE-2020-10384
アップデートする - CVE-2020-12527、CVE-2020-12528、CVE-2020-12529、CVE-2020-12530、CVE-2020-35557、CVE-2020-35558、CVE-2020-35559、CVE-2020-35560、CVE-2020-35563、CVE-2020-35564、CVE-2020-35566、CVE-2020-35568、CVE-2020-35569、CVE-2020-35570、CVE-2020-10384
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、一部の脆弱性を修正した次のバージョンをリリースしています。
- mymbCONNECT24 v2.7.1
- mbCONNECT24 v2.7.1
開発者はパッチがリリースされるまでの間、未修正の脆弱性に対して以下の対策の実施を推奨しています。
- ログインページに Fail2Ban を介してアクセスするように設定し、ブルートフォース検出を有効化する - CVE-2020-35565
- ファイアウォールを利用して、サーバの LAN 側で脆弱なオープンポートを閉じる - CVE-2020-35561
| ベンダ | リンク |
| MB CONNECT LINE | SIM#2020-04-2 (PDF) |
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2020-12527 |
|
CVE-2020-12528 |
|
|
CVE-2020-12529 |
|
|
CVE-2020-12530 |
|
|
CVE-2020-35557 |
|
|
CVE-2020-35558 |
|
|
CVE-2020-35559 |
|
|
CVE-2020-35560 |
|
|
CVE-2020-35561 |
|
|
CVE-2020-35563 |
|
|
CVE-2020-35564 |
|
|
CVE-2020-35565 |
|
|
CVE-2020-35566 |
|
|
CVE-2020-35567 |
|
|
CVE-2020-35568 |
|
|
CVE-2020-35569 |
|
|
CVE-2020-35570 |
|
|
CVE-2020-10384 |
|
| JVN iPedia |
