JVNVU#99039923
Auto-Maskin DCU 210E、RP 210E および Marine Pro Observer App に複数の脆弱性

Auto-Maskin RP リモートパネルと DCU コントロールユニットは船舶のエンジンの監視および制御を行う製品です。これらの製品には認証や暗号化に関する複数の脆弱性が存在し、攻撃者によって製品にアクセスされ、船舶のエンジン操作を乗っ取られる可能性があります。

• Auto-Maskin RP リモートパネル
• DCU コントロールユニット

認証情報がハードコードされている問題 (CWE-798) - CVE–2018-5399
DCU 210E のファームウエアには Dropbear SSH server が含まれていますが、このことはドキュメントに記載されていません。また、SSH 接続のためのユーザ名とパスワードがハードコードされており、そのパスワードは容易に推測可能なものです。

接続元の妥当性検証の不備 (CWE-346) - CVE–2018-5400
当該製品はドキュメントに記載されていない独自のプロトコルを使用して他の機器との Modbus 通信を行っていますが、機器間の接続の妥当性を検証していません。

機微な情報がクリアテキストで送信される問題 (CWE-319) - CVE–2018-5401
当該製品は暗号化されていない Modbus 通信を使用して制御情報を送信しています。

機微な情報がクリアテキストで送信される問題 (CWE-319) - CVE–2018-5402
当該製品に含まれるウェブサーバは暗号化されていないプレーンテキストを使用して管理者 PIN コードを送信しています。

これらの脆弱性は Brian Satira 氏および Brian Olson 氏により報告されました。

攻撃者によって本脆弱性を利用され、機器の構成や設定情報、センサーの動作状況などの情報を取得される可能性があります。
また、任意の Modbus (制御) 情報を送信される可能性もあります。

2018年10月9日現在、対策方法は不明です。