公開日:2023/02/08 最終更新日:2023/02/08

JVNVU#99994755
EnOcean製SmartServerにおけるハードコードされた認証情報の使用の脆弱性

概要

EnOcean社が提供するSmartServerには、ハードコードされた認証情報の使用の脆弱性が存在します。

影響を受けるシステム

i.LON Vision 2.2 SR8/SP8(4.12.006)を搭載した、以下のバージョンの製品が影響を受けます。

  • EnOcean SmartServer v2.2 SR8/SP8(4.12.006)

詳細情報

EnOcean社が提供するSmartServerには、次の脆弱性が存在します。

  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-3089

想定される影響

当該製品の認証情報が漏えいする可能性があります。

対策方法

アップデートする
本脆弱性を修正した SmartServer 3.5 Update 2 (v3.52.003) がリリースされています。開発者が提供する情報を元に最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
EnOcean SmartServer IoT Release Notes(要ログイン)
Enhancing Security(要ログイン)

参考情報

  1. ICS Advisory (ICSA-23-037-01)
    EnOcean SmartServer

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia