公開日:2020/06/26 最終更新日:2020/06/26

JVNVU#92653659
ENTTEC 製 Lighting Controllers における複数の脆弱性

概要

ENTTEC が提供する Lighting Controllers には、複数の脆弱性が存在します。

影響を受けるシステム

ファームウェアのバージョン 70044_update_05032019-482 およびそれ以前を搭載した次の製品が影響を受けます。

  • Datagate Mk2
  • Storm 24
  • Pixelator
  • E-Streamer Mk2

詳細情報

Lighting Controllers は ENTTEC が提供する照明機器を制御するためのソフトウェアパッケージです。Lighting Controllers には次の複数の脆弱性が存在します。

  • ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2019-12776
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • クロスサイトスクリプティング (CWE-79) - CVE-2019-12774
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1
  • 不適切なアクセス制御 (CWE-284) - CVE-2019-12775
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • 重要な情報に対するアクセス権の不適切な割り当て (CWE-732) - CVE-2019-12777
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • SSH および SCP にアクセス可能な root ユーザの SSH 鍵がソースコードに直接記述されているため、遠隔の第三者によって root ユーザの権限を取得される - CVE-2019-12776
  • Datagate Mk2 の Web 設定ソフトウェアにクロスサイトスクリプティングの脆弱性が存在するため、遠隔の第三者によって悪意のあるコードが実行される - CVE-2019-12774
  • 適切なアクセス制御を設定されていないため、遠隔の第三者によって sudo コマンドを使って管理者権限でアクセスされる - CVE-2019-12775
  • ディレクトリのアクセス権限を全ユーザが読出・書込・実行が可能な設定にシステムが変換するため、遠隔の第三者によってファイルの変更や実行が行われる - CVE-2019-12777

対策方法

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ファイヤーウォールやネットワークの分離を適切に設定し、インターネットから当該製品にアクセスできないようにする

ベンダ情報

ベンダ リンク
ENTTEC Lighting control

参考情報

  1. ICS Advisory (ICSA-20-177-01)
    ENTTEC Lighting Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
CVE-2019-12774
CVE-2019-12775
CVE-2019-12776
CVE-2019-12777
JVN iPedia