JVNDB-2021-002023
|
GEUTEBRUCK 製 G-Cam E2 および G-Code に複数の脆弱性
|
GEUTEBRUCK 社が提供する G-Cam E2 および G-Code には、次の複数の脆弱性が存在します。
* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33543
* コマンドインジェクション (CWE-77) - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
* スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-33545、CVE-2021-33546、CVE-2021-33547、CVE-2021-33549
|
CVSS v3 による深刻度 基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2021-33543の評価になります。
|
CVSS v3 による深刻度
基本値:7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554 の評価になります。
|
CVSS v3 による深刻度
基本値:7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2021-33545、CVE-2021-33546、CVE-2021-33547、CVE-2021-33549 の評価になります。
|
* ファームウェアバージョン 1.12.0.27 およびそれ以前
* ファームウェアバージョン 1.12.13.2 および 1.12.14.5
上記のファームウェアバージョンで動作する E2 シリーズカメラモデルおよびエンコーダ
* G-CAM
* EBC-21xx
* EFD-22xx
* ETHC-22xx
* EWPC-22xx
* G-Code
* EEC-2xx
* EEN-20xx
|
GEUTEBRUCK
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* デフォルトのユーザー認証設定不備により、遠隔の第三者によって機密情報を窃取される - CVE-2021-33543
* 遠隔の第三者によって、コマンドインジェクションによる任意のコードを実行される - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
* 遠隔の第三者によって、counterパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33545
* 遠隔の第三者によって、nameパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33546
* 遠隔の第三者によって、profileパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33547
* 遠隔の第三者によって、actionパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33549
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者は本脆弱性を修正した次のバージョンをリリースしています。
* ファームウェアバージョン 1.12.14.7
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* カメラのデフォルトパスワードを変更する
* インターネットからの制御システムのデバイスおよびネットワークへのアクセスを制限する
* 制御ネットワークとリモートデバイスのネットワークを分離する
* リモートアクセスが必要な場合は仮想プライベートネットワーク(VPN)等を利用する
|
GEUTEBRUCK
|
- コマンドインジェクション(CWE-77) [その他]
- スタックベースのバッファオーバーフロー(CWE-121) [その他]
- 重要な機能に対する認証の欠如(CWE-306) [その他]
|
- CVE-2021-33543
- CVE-2021-33544
- CVE-2021-33548
- CVE-2021-33550
- CVE-2021-33551
- CVE-2021-33552
- CVE-2021-33553
- CVE-2021-33554
- CVE-2021-33545
- CVE-2021-33546
- CVE-2021-33547
- CVE-2021-33549
|
- JVN : JVNVU#97817785
- ICS-CERT ADVISORY : ICSA-21-208-03
|
|