【活用ガイド】

JVNDB-2015-004031

ALEOS を使用する Sierra Wireless の複数のデバイスがハードコードされたパスワードを使用する問題

概要

Sierra Wireless が提供する AirLink ゲートウェイデバイス上で実行される管理ソフトウェア ALEOS には、認証情報がハードコードされている問題が存在します。

認証情報 (パスワード) がハードコードされている問題 (CWE-259) - CVE-2015-2897
Sierra Wireless が提供する AirLink ゲートウェイデバイス上で実行される管理ソフトウェア ALEOS には、root 権限を持った複数のアカウントがハードコードされています。ALEOS バージョン 4.3.4 およびそれ以前では、これら root 権限を持ったアカウントは初期設定で有効になっており、telnet または ssh でアクセス可能です。ALEOS バージョン 4.3.5 から 4.4.1 の初期設定では、ハードコードされたアカウントは有効になっていますが、リモートアクセスは無効になっています。

CWE-259: Use of Hard-coded Password
https://cwe.mitre.org/data/definitions/259.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム

ALEOS バージョン 4.4.1 およびそれ以前を使用する次の AirLink ゲートウェイデバイスが本脆弱性の影響を受けます。

Sierra Wireless
  • ALEOS 4.4.1 およびそれ以前
  • AirLink ES440
  • AirLink ES450
  • AirLink GX400
  • AirLink GX440
  • AirLink GX450
  • AirLink LS300

想定される影響

遠隔の攻撃者によって、影響を受けるデバイスを操作される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、ALEOS をアップデートしてください。
開発者によると、本脆弱性は ALEOS バージョン 4.4.2 で修正されており、初期設定においてハードコードされたアカウントへのアクセスは無効になっています。

[ワークアラウンドを実施する]
ALEOS のアップデートを希望しないまたは不可能なユーザに対して、開発者は次の回避策を推奨しています。

 * 信頼できるホストまたはネットワークからのみ接続を許可するようにアクセス制限をかける
ベンダ情報

Sierra Wireless
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報漏えい(CWE-200) [NVD評価]
  2. ハードコードされたパスワードの使用(CWE-259) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-2897
参考情報

  1. JVN : JVNVU#95544994
  2. National Vulnerability Database (NVD) : CVE-2015-2897
  3. US-CERT Vulnerability Note : VU#628568
更新履歴

  • [2015年08月11日]
      掲載
    [2015年08月17日]
      CVSS による深刻度:内容を更新