公開日:2022/12/15 最終更新日:2022/12/16

JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性

概要

シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

影響を受ける製品、機種名、ファームウェアバージョンは広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。

  • デジタルフルカラー複合機
  • デジタル複合機(モノクロ)

詳細情報

シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェクションの脆弱性(CWE-77CVE-2022-45796)が存在します。

想定される影響

本脆弱性が悪用された場合、複合機のファームウェア上で任意のコマンドが実行される可能性があります。

開発者によると、本脆弱性を使用した攻撃成立には、次の条件が必須とのことです。

  • 遠隔の第三者が対象の複合機にネットワーク経由で接続可能であること
  • 遠隔の第三者が対象の複合機の管理者パスワードを知っていること
詳しくは、開発者が提供する情報をご確認ください。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
ファームウェアアップデートの入手や適用の詳細に関しては、開発者の提供する「お客様ご相談窓口」にお問合せください。

ワークアラウンドを実施する
ファームウェアのアップデートが適用されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 複合機をインターネットに直接接続せず、ファイアウォールやルーター等で保護されたネットワーク内で使用する
  • 複合機の管理者パスワードを工場出荷時の初期値から変更し、適切に管理する
回避策の詳細については、開発者が提供する次の情報をご確認ください。
シャープ デジタル複合機 インターネットからの不正アクセス防止のための対策手順書

ベンダ情報

ベンダ リンク
シャープ株式会社 弊社複合機におけるセキュリティ脆弱性について

参考情報

  1. ZUSO ART Advisory
    SHARP Multifunction Printer - Command Injection

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
基本値: 9.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

分析結果のコメント

本件の脆弱性はwebアプリケーションコンポーネントに存在しますが、影響を受けるOS部分をwebアプリケーションコンポーネントの外部として扱い、S:Cと評価しています。

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/12/16
[参考情報]にZUSO ARTのリンクを追加しました