MOXA 産業用スイッチに致命的な脆弱性(CVE-2023-38408)

セキュリティニュース

投稿日時: 更新日時:

MOXA 産業用スイッチに致命的な脆弱性(CVE-2023-38408)

2026年1月9日、MOXAは同社の産業用イーサネットスイッチに搭載されているOpenSSHコンポーネントに関する脆弱性情報を公開しました。対象はCVE-2023-38408で、CVSS 9.8(Critical)として整理されています。OTネットワークではスイッチが通信の集約点になりやすく、影響が機器単体に留まらないため、優先度を上げて点検が必要です。

概要

CVE-2023-38408は、OpenSSHのssh-agentにあるPKCS#11機能の挙動に起因し、条件次第でリモートコード実行(RCE)につながる可能性があると説明されています。

脆弱性の対象バージョン

MOXAのアドバイザリで影響が明記されているのは、次の製品シリーズとファームウェアです。

EDSシリーズ(EDS-G4000、EDS-4008、EDS-4009、EDS-4012、EDS-4014、EDS-G4008、EDS-G4012、EDS-G4014)はファームウェア v4.1 以前が対象です。
RKSシリーズ(RKS-G4000、RKS-G4028、RKS-G4028-L3)はファームウェア v5.0 以前が対象です。

対策バージョン

MOXAは本件に対するセキュリティパッチを用意しており、シリーズごとに適用すべきパッチ版が示されています。

EDSシリーズはセキュリティパッチ v4.1.58が対策版です。
RKSシリーズはセキュリティパッチ v5.0.4が対策版です。

パッチは一般公開のダウンロード提供ではなく、MOXAテクニカルサポートへ連絡して入手する形で案内されています。

原因

原因は、ssh-agentがPKCS#11関連のモジュールを読み込む際の検索パスが十分に信頼できない(安全な場所に限定されない)ことにあります。過去の関連問題(CVE-2016-10009)に対する修正が不完全だったことが背景として示されています。