【活用ガイド】

[English]

JVNDB-2022-000030

FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性

概要

富士通株式会社が提供する FUJITSU Network IPCOM は統合ネットワークアプライアンスです。
FUJITSU Network IPCOM の操作時に使用する運用管理インタフェースには、次の複数の脆弱性が存在します。
  • Web コンソールにおける OS コマンドインジェクション (CWE-78) - CVE-2022-29516
  • コマンドラインインタフェースにおけるバッファオーバーフロー (CWE-120) - CVE-2020-10188
この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2022-29516の評価になります。


CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
当該製品では、既知の脆弱性を含む netkit-telnet が使用されています。
※上記は、CVE-2020-10188の評価になります。
影響を受けるシステム


富士通
  • IPCOM EX2シリーズ
  • IPCOM EXシリーズ
  • IPCOM VA2/VE1シリーズ
  • IPCOM VE2シリーズ

想定される影響

遠隔の第三者によって次のような影響を受ける可能性があります。
  • 任意の OS コマンドを実行される
  • 機微な情報を窃取されたり、改ざんされたりする
  • サービス運用妨害 (DoS) 攻撃を受ける
対策

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
  • IPCOM EX2シリーズ(V01L0x系) V01L05 NF0501
  • IPCOM EX2シリーズ(V01L20系) V01L20 NF0301
  • IPCOM EX2シリーズ(V02L21系) V02L21 NF0201
  • IPCOM EX シリーズ(E20系) E20L33 NF1101
  • IPCOM EXシリーズ(E30系) E30L11 NF0501
  • IPCOM VE2シリーズ V01L05 NF0303
  • IPCOM VA2/VE1シリーズ E20L33 NF0902
[ワークアラウンドを実施する]
以下のいずれかの回避策を適用することで、許可された運用管理端末以外からの不正なアクセスを防いでください。
  • 運用管理端末を配置する専用のネットワークを用意し、運用管理インタフェースへのアクセスをこのネットワークからのみに制限する
  • 個々の運用管理端末に対してアクセス許可を設定する
詳しくは開発者が提供する情報をご確認ください。
ベンダ情報

富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. OSコマンドインジェクション(CWE-78) [IPA評価]
  2. バッファエラー(CWE-119) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-10188
  2. CVE-2022-29516
参考情報

  1. JVN : JVN#96561229
  2. JPCERT 緊急報告 : JPCERT-AT-2022-0013
更新履歴

  • [2022年05月09日]
      掲載
  • [2022年05月10日]
      参考情報:JPCERT 緊急報告 (JPCERT-AT-2022-0013) を追加
  • [2022年05月19日]
      対策:内容を更新
  • [2022年05月30日]
      対策:内容を更新
  • [2022年06月03日]
      対策:内容を更新
  • [2022年06月10日]
      対策:内容を更新
  • [2022年06月16日]
      対策:内容を更新