JVNDB-2017-003932
|
CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性
|
|
CalAmp LMU-3030 デバイスを含む構成で販売されているシステムに、SMS インターフェースにパスワードを設定していない例が複数発見されました。発見された事例についてはすでに、パスワードの設定や SMS インターフェースの無効化といった対応が行われています。
CalAmp LMU-3030 デバイスを使用する場合には、SMS インターフェースにパスワードを設定するか、SMS インターフェースを無効にしておく必要があります。
重要な機能に対する認証の欠如 (CWE-306) - CVE-2017-3217
CalAmp LMU 3030 シリーズは、車両管理のためのテレマティクス情報を提供する OBD-II デバイスの一つです。このデバイスには CDMA バージョン、GSM バージョンどちらにも SMS (テキストメッセージ) インターフェースが設けられており、管理用のコマンドを送信することによって IP アドレス、ファイアーウォールのルール、パスワードなどを設定可能です。
SMS インターフェースにパスワードを設定していない場合、IMSI Catcher などによりデバイスの電話番号を取得した遠隔の第三者から攻撃される可能性があります。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
CalAmp
|
|
|
車両の GPS 座標、車の向き、速度、さらにメンテナンス情報などにアクセスされる可能性があります。また、古いバージョンのファームウェアが遠隔の第三者によって悪意のあるコードを含むファームウェアに書き換えられ、CAN バスに対する攻撃が行われる可能性があります。
|
|
[SMS パスワードを設定する]
SMS インターフェースにパスワードを設定して保護する、もしくは SMS インターフェースを無効化してください。
また、ファームウェアのバージョンが古い場合には、最新版にアップデートしてください。
|
|
|
|
- 重要な機能に対する認証の欠如(CWE-306) [IPA評価]
|
|
- CVE-2017-3217
|
|
- JVN : JVNVU#91545522
- National Vulnerability Database (NVD) : CVE-2017-3217
- US-CERT Vulnerability Note : VU#251927
|
|
- [2017年06月12日]
掲載
- [2019年07月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3217) を追加
|
