公開日:2022/09/21 最終更新日:2022/09/21

JVNVU#92068429
Dataprobe製iBoot-PDUファームウェアにおける複数の脆弱性

概要

Dataprobeが提供するiBoot-PDUファームウェアには、複数の脆弱性が存在します。

影響を受けるシステム

  • Dataprobe iBoot-PDU ファームウェア 1.42.06162022 より前のバージョン

詳細情報

Dataprobeが提供するiBoot-PDUファームウェアには、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション (CWE-78) - CVE-2022-3183
  • パストラバーサル (CWE-22) - CVE-2022-3184
  • 情報漏えい (CWE-200) - CVE-2022-3185
  • 不適切なアクセス制御 (CWE-284) - CVE-2022-3186
  • 不適切な認可 (CWE-285) - CVE-2022-3187
  • 不適切な認証 (CWE-863) - CVE-2022-3188
  • サーバサイドリクエストフォージェリ (CWE-918) - CVE-2022-3189

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • OSコマンドを実行される - CVE-2022-3183
  • PHPページにアクセスされ、webrootディレクトリにファイルを書き込まれる - CVE-2022-3184
  • デバイスに関する機密データを窃取される - CVE-2022-3185
  • メイン管理ページを経由し、他のデバイス情報にアクセスされる - CVE-2022-3186
  • 特定のPHPページにアクセスされ、配電ユニットのコンセントの状態を読み取られる - CVE-2022-3187
  • PHPインデックスページを開かれ、デバイスの履歴ファイルをダウンロードされる - CVE-2022-3188
  • 細工されたPHPスクリプトによって、ホストパラメータを変更される - CVE-2022-3189

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、使用していない場合はSNMPを無効にすることも推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Dataprobe Support iBoot PDU

参考情報

  1. ICS Advisory (ICSA-22-263-03)
    Dataprobe iBoot-PDU

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia