【活用ガイド】

JVNDB-2020-009866

複数の組み込み TCP/IP スタックにメモリ管理の不備に起因する複数の脆弱性

概要

複数の組み込み TCP/IP スタックの実装に、メモリ管理の不備に起因する複数の脆弱性が発見されました。これら一連の脆弱性は「AMNESIA:33」と呼称されています。

リアルタイム OS や IoT 製品をはじめとした多くの製品で使用されている複数の組み込み TCP/IP スタックで、メモリ管理の不備に起因する複数の脆弱性が発見されました。
脆弱性の深刻度や影響範囲は製品によって異なります。詳細については、一連の脆弱性を発見した Forescout が提供する情報を確認してください。また、Forescout は本脆弱性の検出ツールを公開しています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


ALTRAN
  • picoTCP Version 1.7.0 およびそれ以前 (picoTCP は開発が終了しています)
  • picoTCP-NG Version 2.0.0 およびそれ以前
Contiki プロジェクト
  • Contiki Operating System (uIP) Version 3.0 およびそれ以前 (Contiki-OS は開発が終了しています)
Contiki-NG
  • Contiki-NG (uIP) Version 4.5 およびそれ以前
Ethernut Software
  • Nut/Net Version 5.1 およびそれ以前
FNET
  • FNET Version 4.6.3
uIP project
  • uIP Version 1.0 およびそれ以前 (uIP は開発が終了しています)

想定される影響

脆弱性による影響は当該製品を使用する環境により大きく異なりますが、遠隔の第三者によって、サービス運用妨害 (DoS) や任意のコードの実行が行われたり、機微な情報が漏えいしたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、本脆弱性に対処したアップデートを適用してください。

なお、一般的に IoT 機器や組み込み機器をネットワークに接続する際は、以下の対策を実施することが推奨されます。

 * ネットワークを切り分け、組み込み機器が直接インターネットに公開されるのを避ける
 * セキュリティ機能を有効にし、不正なパケットの検出を可能にする
 * 不審な通信を発見できるよう、ファイアウォールを利用する
 * セキュリティの既定値群 (secure defaults) を確認し、利用しないサービスを無効化する
 * ファームウェアを常に最新に保つ
ベンダ情報

ALTRAN Contiki-NG Ethernut Software FNET uIP project シャープ株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 無限ループ(CWE-835) [NVD評価]
  2. 境界外書き込み(CWE-787) [NVD評価]
  3. 整数オーバーフローまたはラップアラウンド(CWE-190) [NVD評価]
  4. 数値型間の変換の誤り(CWE-681) [NVD評価]
  5. 境界外読み取り(CWE-125) [NVD評価]
  6. 不適切な入力確認(CWE-20) [NVD評価]
  7. その他(CWE-Other) [NVD評価]
  8. 初期化されていないポインタのアクセス(CWE-824) [NVD評価]
  9. 不十分なランダム値の使用(CWE-330) [NVD評価]
  10. 古典的バッファオーバーフロー(CWE-120) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-13984
  2. CVE-2020-13985
  3. CVE-2020-13986
  4. CVE-2020-13987
  5. CVE-2020-13988
  6. CVE-2020-17437
  7. CVE-2020-17438
  8. CVE-2020-17439
  9. CVE-2020-17440
  10. CVE-2020-17441
  11. CVE-2020-17442
  12. CVE-2020-17443
  13. CVE-2020-17444
  14. CVE-2020-17445
  15. CVE-2020-17467
  16. CVE-2020-17468
  17. CVE-2020-17469
  18. CVE-2020-17470
  19. CVE-2020-24334
  20. CVE-2020-24336
  21. CVE-2020-24337
  22. CVE-2020-24338
  23. CVE-2020-24339
  24. CVE-2020-24340
  25. CVE-2020-24341
  26. CVE-2020-24383
  27. CVE-2020-25107
  28. CVE-2020-25108
  29. CVE-2020-25109
  30. CVE-2020-25110
  31. CVE-2020-25111
  32. CVE-2020-25112
参考情報

  1. JVN : JVNVU#96491057
  2. JVN : JVNVU#93441670
  3. National Vulnerability Database (NVD) : CVE-2020-13984
  4. National Vulnerability Database (NVD) : CVE-2020-13985
  5. National Vulnerability Database (NVD) : CVE-2020-13986
  6. National Vulnerability Database (NVD) : CVE-2020-13987
  7. National Vulnerability Database (NVD) : CVE-2020-13988
  8. National Vulnerability Database (NVD) : CVE-2020-17437
  9. National Vulnerability Database (NVD) : CVE-2020-17438
  10. National Vulnerability Database (NVD) : CVE-2020-17439
  11. National Vulnerability Database (NVD) : CVE-2020-17440
  12. National Vulnerability Database (NVD) : CVE-2020-17441
  13. National Vulnerability Database (NVD) : CVE-2020-17442
  14. National Vulnerability Database (NVD) : CVE-2020-17443
  15. National Vulnerability Database (NVD) : CVE-2020-17444
  16. National Vulnerability Database (NVD) : CVE-2020-17445
  17. National Vulnerability Database (NVD) : CVE-2020-17467
  18. National Vulnerability Database (NVD) : CVE-2020-17468
  19. National Vulnerability Database (NVD) : CVE-2020-17469
  20. National Vulnerability Database (NVD) : CVE-2020-17470
  21. National Vulnerability Database (NVD) : CVE-2020-24334
  22. National Vulnerability Database (NVD) : CVE-2020-24336
  23. National Vulnerability Database (NVD) : CVE-2020-24337
  24. National Vulnerability Database (NVD) : CVE-2020-24338
  25. National Vulnerability Database (NVD) : CVE-2020-24339
  26. National Vulnerability Database (NVD) : CVE-2020-24340
  27. National Vulnerability Database (NVD) : CVE-2020-24341
  28. National Vulnerability Database (NVD) : CVE-2020-24383
  29. National Vulnerability Database (NVD) : CVE-2020-25107
  30. National Vulnerability Database (NVD) : CVE-2020-25108
  31. National Vulnerability Database (NVD) : CVE-2020-25109
  32. National Vulnerability Database (NVD) : CVE-2020-25110
  33. National Vulnerability Database (NVD) : CVE-2020-25111
  34. National Vulnerability Database (NVD) : CVE-2020-25112
  35. ICS-CERT ADVISORY : ICSA-20-343-01
  36. ICS-CERT ADVISORY : ICSA-20-343-05
  37. ICS-CERT ADVISORY : ICSA-21-068-06
  38. 関連文書 : Forescout (THE GLOBAL IMPACT OF AMNESIA:33)
  39. 関連文書 : Forescout / project-memoria-detector - Github
更新履歴

  • [2020年12月10日]
      掲載
  • [2020年12月11日]
      参考情報:ICS-CERT ADVISORY (ICSA-20-343-05) を追加
  • [2020年12月18日]
      概要:内容を更新
      参考情報:関連文書 (Forescout / project-memoria-detector - Github) を追加
  • [2021年03月12日]
      参考情報:ICS-CERT ADVISORY (ICSA-21-068-06) を追加
  • [2021年08月04日]
      参考情報:JVN (JVNVU#93441670) を追加