公開日:2021/03/24 最終更新日:2021/09/24
JVNVU#95598949
Ovarro 製 TBox における複数の脆弱性
Ovarro 社が提供する TBox には、複数の脆弱性が存在します。
TWinSoft Version 12.4 および Firmware Version 1.46 より前のバージョンで稼働する次の製品
- TBoxLT2 (全モデル)
- TBox MS-CPU32
- TBox MS-CPU32-S2
- TBox RM2 (全モデル)
- TBox TG2 (全モデル)
Ovarro 社が提供する TBox は、リモートターミナルユニットです。TBoX には次の複数の脆弱性が存在します。
- コードインジェクション (CWE-94) - CVE-2021-22646
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - 重要なリソースへの不適切なパーミッションの割り当て (CWE-732) - CVE-2021-22648
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - リソースの枯渇 (CWE-400) - CVE-2021-22642
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5 - 認証情報の不十分な保護 (CWE-522) - CVE-2021-22640
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2021-22644
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - 相対的パストラバーサル (CWE-23) - CVE-2021-22650
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、
ipkパッケージを経由し、任意のコードを実行される - CVE-2021-22646 - 遠隔の第三者によって、Modbus ファイルアクセス機能を利用し、構成情報を読み取られたり、変更や削除されたりする - CVE-2021-22648
- 遠隔の第三者によって、細工された Modbus フレームを送信され、当該機器をサービス運用妨害 (DoS) 状態にされる - CVE-2021-22642
- 遠隔の攻撃者によって、傍受した通信の情報をもとに総当たり攻撃 (ブルートフォースアタック) が行われることで、ログインパスワードが特定される - CVE-2021-22640
- 遠隔の第三者によって、ハードコードされたユーザと暗号鍵を使用し、当該機器内の暗号化された情報を復号化される - CVE-2021-22644
- 遠隔の第三者によって、細工されたプロジェクトファイルを読み込むことで、任意のコードを実行される - CVE-2021-22650
アップデートする
Ovarro 社が提供する情報をもとに、以下のバージョンにアップデートしてください。
- TWinSoft Version 12.5 およびそれ以降
| ベンダ | リンク |
| Ovarro | Customer Support |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2021-22640 |
|
CVE-2021-22642 |
|
|
CVE-2021-22644 |
|
|
CVE-2021-22646 |
|
|
CVE-2021-22648 |
|
|
CVE-2021-22650 |
|
| JVN iPedia |
|
- 2021/09/24
- [詳細情報]、[想定される影響]、[対策方法]、[関連文書]を更新しました。
