セイコーソリューションズの「SkyBridge BASIC MB-A130」に、Web-UI(管理画面)でログイン認証なしに任意のOSコマンドが実行可能となる脆弱性が確認されています。回線契約や装置設定(WAN/LANからのWeb-UI到達可否)によっては、外部の第三者から装置や周辺システムへの攻撃・破壊、設定情報の盗用・改ざん、管理者権限の乗っ取りに至るおそれがあります。
影響製品と対象バージョン
対象は SkyBridge BASIC MB-A130 のファームウェア Ver.1.5.8 までです。
上記バージョンのまま運用している場合、WAN/LANいずれの経路からでもWeb-UIに到達できる環境では、直ちにリスクが顕在化します。
この脆弱性は三井物産セキュアディレクション株式会社 荒牧 努氏によって発見されました。
恒久対策(最優先)
ファームウェアを Ver.1.6.0 以上に更新してください。これがベンダー提供の恒久対策です。更新後は、装置の到達制御(WAN/LAN)と業務トラフィックの正常性を必ず確認してください。
暫定対策(更新までのリスク低減)
アップデートが直ちに実施できない場合、以下を必ず講じてください。可能であれば併用してください。
-
WANおよびLANからのWeb-UIアクセスを禁止する(装置設定と境界FWの両面で遮断)
-
閉域網回線の利用など、インターネットからの到達経路を撤廃する
想定される影響
攻撃者は装置のWeb-UIに到達できれば、認証を経ずにOSコマンドを注入できます。これにより、設定データの窃取・改ざん、再起動や初期化の強要、内部ネットワークへの横展開、恒久バックドアの設置などが可能になります。攻撃の結果、装置の正常動作が阻害され、通信断や業務停止につながるおそれがあります。
参照








