JVNDB-2021-002023

GEUTEBRUCK 製 G-Cam E2 および G-Code に複数の脆弱性

GEUTEBRUCK 社が提供する G-Cam E2 および G-Code には、次の複数の脆弱性が存在します。

　* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33543
　* コマンドインジェクション (CWE-77) - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
　* スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-33545、CVE-2021-33546、CVE-2021-33547、CVE-2021-33549

　* ファームウェアバージョン 1.12.0.27 およびそれ以前
　* ファームウェアバージョン 1.12.13.2 および 1.12.14.5

上記のファームウェアバージョンで動作する E2 シリーズカメラモデルおよびエンコーダ

　* G-CAM
　　* EBC-21xx
　　* EFD-22xx
　　* ETHC-22xx
　　* EWPC-22xx

　* G-Code
　　* EEC-2xx
　　* EEN-20xx

GEUTEBRUCK

• (複数の製品)

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* デフォルトのユーザー認証設定不備により、遠隔の第三者によって機密情報を窃取される - CVE-2021-33543
　* 遠隔の第三者によって、コマンドインジェクションによる任意のコードを実行される - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
　* 遠隔の第三者によって、counterパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33545
　* 遠隔の第三者によって、nameパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33546
　* 遠隔の第三者によって、profileパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33547
　* 遠隔の第三者によって、actionパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33549

[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者は本脆弱性を修正した次のバージョンをリリースしています。

　* ファームウェアバージョン 1.12.14.7
　
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
　
　* カメラのデフォルトパスワードを変更する
　* インターネットからの制御システムのデバイスおよびネットワークへのアクセスを制限する
　* 制御ネットワークとリモートデバイスのネットワークを分離する
　* リモートアクセスが必要な場合は仮想プライベートネットワーク（VPN）等を利用する

GEUTEBRUCK

• Geutebrueck : GEUTEBRUCK’s web portal （要ログイン）

1. コマンドインジェクション(CWE-77) [その他]
2. スタックベースのバッファオーバーフロー(CWE-121) [その他]
3. 重要な機能に対する認証の欠如(CWE-306) [その他]

1. CVE-2021-33543
2. CVE-2021-33544
3. CVE-2021-33548
4. CVE-2021-33550
5. CVE-2021-33551
6. CVE-2021-33552
7. CVE-2021-33553
8. CVE-2021-33554
9. CVE-2021-33545
10. CVE-2021-33546
11. CVE-2021-33547
12. CVE-2021-33549

1. JVN : JVNVU#97817785
2. ICS-CERT ADVISORY : ICSA-21-208-03

• [2021年07月29日]
    掲載