公開日:2020/12/09 最終更新日:2021/06/11

JVNVU#96491057
複数の組み込み TCP/IP スタックにメモリ管理の不備に起因する複数の脆弱性

概要

複数の組み込み TCP/IP スタックの実装に、メモリ管理の不備に起因する複数の脆弱性が発見されました。これら一連の脆弱性は「AMNESIA:33」と呼称されています。

影響を受けるシステム

組み込み TCP/IP スタックとして以下を使用している製品

  • uIP Version 1.0 およびそれ以前
    • uIP は開発が終了しています
  • Contiki-OS (uIP)  Version 3.0 およびそれ以前
    • Contiki-OS は開発が終了しています
  • Contiki-NG (uIP) Version 4.5 およびそれ以前
  • picoTCP Version 1.7.0 およびそれ以前
    • picoTCP は開発が終了しています
  • picoTCP-NG Version 2.0.0 およびそれ以前
  • FNET Version 4.6.3
  • Nut/Net Version 5.1 およびそれ以前

詳細情報

リアルタイム OS や IoT 製品をはじめとした多くの製品で使用されている複数の組み込み TCP/IP スタックで、メモリ管理の不備に起因する複数の脆弱性が発見されました。
脆弱性の深刻度や影響範囲は製品によって異なります。詳細については、一連の脆弱性を発見した Forescout が提供する情報を確認してください。また、Forescout は本脆弱性の検出ツールを公開しています。

想定される影響

脆弱性による影響は当該製品を使用する環境により大きく異なりますが、遠隔の第三者によって、サービス運用妨害 (DoS) や任意のコードの実行が行われたり、機微な情報が漏えいしたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、本脆弱性に対処したアップデートを適用してください。

なお、一般的に IoT 機器や組み込み機器をネットワークに接続する際は、以下の対策を実施することが推奨されます。

  • ネットワークを切り分け、組み込み機器が直接インターネットに公開されるのを避ける
  • セキュリティ機能を有効にし、不正なパケットの検出を可能にする
  • 不審な通信を発見できるよう、ファイアウォールを利用する
  • セキュリティの既定値群 (secure defaults) を確認し、利用しないサービスを無効化する
  • ファームウェアを常に最新に保つ

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
TDK 株式会社 該当製品無し 2020/12/09
アズビル株式会社 該当製品無し 2021/01/05
オムロン株式会社 脆弱性情報提供済み 2020/12/09
オリンパス株式会社 該当製品無し(調査中) 2020/12/09
コニカミノルタ株式会社 該当製品無し 2020/12/23
シャープ株式会社 該当製品あり 2020/12/09 シャープ株式会社 の告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2020/12/09
ソニー株式会社 脆弱性情報提供済み 2020/12/09
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2021/06/03
ブラザー工業株式会社 該当製品無し 2020/12/09
富士通コネクテッドテクノロジーズ株式会社 該当製品無し 2021/01/21
富士通株式会社 該当製品無し 2020/12/09
日本電気株式会社 該当製品無し(調査中) 2020/12/10
東芝テック株式会社 該当製品無し 2020/12/09
東芝デベロップメントエンジニアリング株式会社 該当製品無し 2020/12/09
株式会社 スマート・ソリューション・テクノロジー 脆弱性情報提供済み 2020/12/09
株式会社JVCケンウッド 脆弱性情報提供済み 2020/12/09
株式会社インテック 脆弱性情報提供済み 2020/12/09
株式会社オービックビジネスコンサルタント 脆弱性情報提供済み 2020/12/09
横河計測株式会社 該当製品無し 2020/12/09
ベンダ リンク
uIP Github - adamdunkels/uip
Contiki-OS/Contiki-NG Contiki-NG
PicoTCP/PicoTCP-NG picotcp | PicoTCP is a free TCP/IP stack implementation
FNET FNET Embedded TCP/IP Stack
Nut/OS Ethernut Software

参考情報

  1. Forescout | amnesia33
  2. Vulnerability Note VU#815128
    Embedded TCP/IP stacks have memory corruption vulnerabilities
  3. ICS Advisory (ICSA-20-343-01)
    Multiple Embedded TCP/IP Stacks
  4. Forescout / project-memoria-detector - Github

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-13984
CVE-2020-13985
CVE-2020-13986
CVE-2020-13987
CVE-2020-13988
CVE-2020-17437
CVE-2020-17438
CVE-2020-17439
CVE-2020-17440
CVE-2020-17441
CVE-2020-17442
CVE-2020-17443
CVE-2020-17444
CVE-2020-17445
CVE-2020-17467
CVE-2020-17468
CVE-2020-17469
CVE-2020-17470
CVE-2020-24334
CVE-2020-24336
CVE-2020-24337
CVE-2020-24338
CVE-2020-24339
CVE-2020-24340
CVE-2020-24341
CVE-2020-24383
CVE-2020-25107
CVE-2020-25108
CVE-2020-25109
CVE-2020-25110
CVE-2020-25111
CVE-2020-25112
JVN iPedia

更新履歴

2020/12/11
日本電気株式会社のベンダステータスが更新されました
2020/12/17
発見者が公開した検出ツールについて掲載しました。
2020/12/23
コニカミノルタ株式会社のベンダステータスが更新されました
2021/01/05
アズビル株式会社のベンダステータスが更新されました
2021/01/22
富士通コネクテッドテクノロジーズ株式会社のベンダステータスが更新されました
2021/06/11
ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました