公開日:2020/10/28 最終更新日:2020/10/28

JVNVU#95194137
JUUKO (SHUN HU Technology) 製産業用無線コントローラに複数の脆弱性

概要

JUUKO Industrial Radio Remote Control (SHUN HU Technology) 製産業用無線コントローラには複数の脆弱性が存在します。

影響を受けるシステム

  • JUUKO K-800 および JUUKO K-808
    • ファームウェアのバージョン表記が 9A,9B,9C など (9 + アルファベット) で終わるもの

詳細情報

JUUKO K-800 および JUUKO K-808 は産業用機械の無線コントローラです。JUUKO K-800 および JUUKO K-808 には、次の複数の脆弱性が存在します。

  • キャプチャ・リプレイ攻撃による認証回避 (CWE-294) - CVE-2018-17932
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H 基本値: 8.3
  • コマンドインジェクション (CWE-77) - CVE-2018-19025
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • JUUKO K-800 において、キャプチャ・リプレイ攻撃によりデバイスを制御されたり、コマンドを窃取されたり、デバイスの実行を停止されたりする - CVE-2018-17932
  • JUUKO K-808 において、コントローラに細工されたパケットが送られることにより、任意のコマンドが実行される - CVE-2018-19025

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
JUUKO Industrial Radio Remote Control SHUN HU Technology Co.,Ltd Contact

参考情報

  1. ICS Advisory (ICSA-20-301-01)
    SHUN HU Technology JUUKO Industrial Radio Remote Control

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-17932
CVE-2018-19025
JVN iPedia