JVNVU#92503855
Red Lion製DA50Nにおける複数の脆弱性

Red Lion社が提供するDA50Nには、複数の脆弱性が存在します。

• DA50Nすべてのバージョン

Red Lion社が提供するDA50Nは、ネットワークゲートウェイ製品です。DA50Nには、次の複数の脆弱性が存在します。

• データの信頼性についての不十分な検証 (CWE-345) - CVE-2022-26516

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

  基本値: 8.4

• 不十分なパスワード強度 (CWE-521) - CVE-2022-1039

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

  基本値: 9.6

• メンテナンスされていないサードパーティ製品の使用 (CWE-1104)
• 認証情報の不十分な保護 (CWE-522) - CVE-2022-27179

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

  基本値: 4.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 高権限ユーザによって、デバイスの更新時に細工されたパッケージファイルをインストールされる - CVE-2022-26516
• 遠隔の第三者によって、WebインターフェースおよびSSHのパスワードを取得され、デバイスを操作される - CVE-2022-1039
• メンテナンスされていないLinuxカーネルv4.9.119を使用しているため、当該カーネルに存在する複数の脆弱性を悪用される - CWE-1104
• 遠隔の第三者によって、保存された資格情報を取得され、機密情報を窃取される - CVE-2022-27179

アップグレードする
開発者によるとRed Lion製のDA50Nシリーズは、保守終了しておりアップデートリリースはないとのことです。
そのため、デバイスをDA50AもしくはDA70Aにアップグレードすることを推奨しています。

ワークアラウンドを実施する
開発者は、本脆弱性に対して以下のワークアラウンドの適用を推奨しています。

• Red Lionの公式Webサイト以外から入手したイメージファイルをインストールしない
• Red LionのWebサイトから画像をダウンロードするときはサーバのTLS証明書の有効性を確認する
• パッケージファイルまたはイメージを展開前に保存する場合は、安全な方法で保存する
• デバイスへの物理的なアクセスを制限する
• デフォルトのUIパスワードが、適切な強度を持つパスワードに変更されていることを確認する
• admin、rlcuser、techupアカウントのパスワードをデフォルトから変更する
• 必要がない場合SSHサービスおよびTelnetサービスを無効にする
• パスワードの再利用をしない
• 設定ファイルへのアクセスを制限する
• オプションのサービスを構成する場合は、安全な資格情報を利用する
• オプションのサービスはアプリケーションに必要な最小限のみ有効にする