公開日:2021/05/28 最終更新日:2021/05/28

JVNVU#98845656
MesaLabs 製 AmegaView における複数の脆弱性

概要

MesaLabs 社が提供する AmegaView には、複数の脆弱性が存在します。

影響を受けるシステム

  • AmegaView Versions 3.0 およびそれ以前

詳細情報

MesaLabs 社が提供する AmegaView には、次の複数の脆弱性が存在します。

  • コマンドインジェクション (CWE-77) - CVE-2021-27447
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • 不適切な認証 (CWE-287) - CVE-2021-27451
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 認証回避 (CWE-288) - CVE-2021-27453
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • コマンドインジェクション (CWE-77) - CVE-2021-27449
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 9.9
  • 不適切なファイル権限管理 (CWE-269) - CVE-2021-27445
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、任意のコードを実行される - CVE-2021-27447
  • 遠隔の第三者によって、当該機器で生成された認証用パスコードを容易に推測される - CVE-2021-27451
  • 遠隔の第三者によって認証を回避され、当該機器へ不正アクセスされる - CVE-2021-27453
  • 当該機器のユーザによって、Web サーバ上で任意のコードを実行される - CVE-2021-27449
  • 当該機器のユーザによって、権限を昇格される - CVE-2021-27445

対策方法

代替製品に移行する
開発者によると、当該製品は2021年末にサポートが終了するため、本脆弱性に対応するアップデートは提供されないとのことです。
そのため、ユーザに対して当該機器と互換性のある ViewPoint software への移行を推奨しています。

ベンダ情報

ベンダ リンク
MesaLabs MesaLabs

参考情報

  1. ICS Advisory (ICSA-21-147-03)
    MesaLabs AmegaView

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia