セイコーソリューションズのSkyBridge BASIC MB-A130にOSコマンドインジェクション 脆弱性(CVE-2025-54857)

セキュリティニュース

投稿日時: 更新日時:

セイコーソリューションズのSkyBridge BASIC MB-A130にOSコマンドインジェクション 脆弱性(CVE-2025-54857)

セイコーソリューションズの「SkyBridge BASIC MB-A130」に、Web-UI(管理画面)でログイン認証なしに任意のOSコマンドが実行可能となる脆弱性が確認されています。回線契約や装置設定(WAN/LANからのWeb-UI到達可否)によっては、外部の第三者から装置や周辺システムへの攻撃・破壊、設定情報の盗用・改ざん、管理者権限の乗っ取りに至るおそれがあります。

影響製品と対象バージョン

対象は SkyBridge BASIC MB-A130ファームウェア Ver.1.5.8 までです。

上記バージョンのまま運用している場合、WAN/LANいずれの経路からでもWeb-UIに到達できる環境では、直ちにリスクが顕在化します。

この脆弱性は三井物産セキュアディレクション株式会社 荒牧 努氏によって発見されました。

恒久対策(最優先)

ファームウェアを Ver.1.6.0 以上に更新してください。これがベンダー提供の恒久対策です。更新後は、装置の到達制御(WAN/LAN)と業務トラフィックの正常性を必ず確認してください。

暫定対策(更新までのリスク低減)

アップデートが直ちに実施できない場合、以下を必ず講じてください。可能であれば併用してください。

  • WANおよびLANからのWeb-UIアクセスを禁止する(装置設定と境界FWの両面で遮断)

  • 閉域網回線の利用など、インターネットからの到達経路を撤廃する

想定される影響

攻撃者は装置のWeb-UIに到達できれば、認証を経ずにOSコマンドを注入できます。これにより、設定データの窃取・改ざん、再起動や初期化の強要、内部ネットワークへの横展開、恒久バックドアの設置などが可能になります。攻撃の結果、装置の正常動作が阻害され、通信断や業務停止につながるおそれがあります。

参照

https://www.seiko-sol.co.jp/archives/90289/