JVNDB-2023-002722

富士通製ネットワーク機器 Si-R シリーズおよび SR-M シリーズにおける認証回避の脆弱性

富士通株式会社が提供するネットワーク機器 Si-R シリーズおよび SR-M シリーズの Web 管理インタフェースには、認証回避の脆弱性 （CWE-287 、 CVE-2023-38555） が存在します。

この脆弱性情報は、下記の方が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 佐藤勝彦 （ｇｏｒｏｈ＿ｋｕｎ） 氏

富士通

• Si-R 130B ファームウェア すべてのバージョン
• Si-R 220D ファームウェア すべてのバージョン
• Si-R 30B ファームウェア すべてのバージョン
• Si-R 370B ファームウェア すべてのバージョン
• Si-R 570B ファームウェア すべてのバージョン
• Si-R 90brin ファームウェア すべてのバージョン
• Si-R G100 ファームウェア V02.54 およびそれ以前のバージョン
• Si-R G100B ファームウェア V04.12 およびそれ以前のバージョン
• Si-R G110B ファームウェア V04.12 およびそれ以前のバージョン
• Si-R G120 ファームウェア V20.52 およびそれ以前のバージョン
• Si-R G121 ファームウェア V20.52 およびそれ以前のバージョン
• Si-R G200 ファームウェア V02.54 およびそれ以前のバージョン
• Si-R G200B ファームウェア V04.12 およびそれ以前のバージョン
• Si-R G210 ファームウェア V20.52 およびそれ以前のバージョン
• Si-R G211 ファームウェア V20.52 およびそれ以前のバージョン
• SR-M 50AP1 ファームウェア すべてのバージョン

当該製品へアクセス可能な第三者によって、当該製品の設定情報を取得されたり、設定の変更やリセット等の操作が行われる可能性があります。

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
開発者によると、本脆弱性は次のファームウェアバージョンで修正されています。

　* Si-RG V2 系シリーズ
　　* Si-R G100 V02.55 およびそれ以降のバージョン
　　* Si-R G200 V02.55 およびそれ以降のバージョン
　* Si-RG V4 系シリーズ
　　* Si-R G100B V04.13 およびそれ以降のバージョン
　　* Si-R G110B V04.13 およびそれ以降のバージョン
　　* Si-R G200B V04.13 およびそれ以降のバージョン
　* Si-RG V20系 シリーズ
　　* Si-R G210 V20.53 およびそれ以降のバージョン
　　* Si-R G211 V20.53 およびそれ以降のバージョン
　　* Si-R G120 V20.53 およびそれ以降のバージョン
　　* Si-R G121 V20.53 およびそれ以降のバージョン

[ワークアラウンドを実施する]
アップデートが提供されない製品については、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
　* 当該製品の設定変更により、HTTP/HTTPS 機能を無効にする
　* 当該製品のWeb管理インタフェースを使用しない

開発者によると、Si-R 30B および Si-R 130B については、回避策を適用するため次のファームウェアバージョンにアップデートする必要があるとのことです。
　* Si-R 30B V02.05
　* Si-R 130B V04.09

詳しくは、開発者が提供する情報をご確認ください。

富士通

• 富士通 : Si-Rシリーズ/SR-M50AP1　Web管理インタフェースにおける脆弱性について

1. 不適切な認証(CWE-287) [その他]

1. CVE-2023-38555

1. JVN : JVNVU#96643580
2. National Vulnerability Database (NVD) : CVE-2023-38555

• [2023年07月27日]
    掲載
• [2023年08月03日]
    対策：内容を更新
• [2024年04月19日]
    影響を受けるシステム：内容を更新