公開日:2023/07/26 最終更新日:2023/08/02

JVNVU#96643580
富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズにおける認証回避の脆弱性

概要

富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-Mシリーズには、認証回避の脆弱性が存在します。

影響を受けるシステム

  • Si-Rシリーズ
    • Si-R 30Bすべてのバージョン
    • Si-R 130Bすべてのバージョン
    • Si-R 90brinすべてのバージョン
  • Si-R V35系シリーズ
    • Si-R570Bすべてのバージョン
    • Si-R370Bすべてのバージョン
    • Si-R220Dすべてのバージョン
  • Si-RG V2系シリーズ
    • Si-R G100 V02.54およびそれ以前のバージョン
    • Si-R G200 V02.54およびそれ以前のバージョン
  • Si-RG V4系シリーズ
    • Si-R G100B V04.12およびそれ以前のバージョン
    • Si-R G110B V04.12およびそれ以前のバージョン
    • Si-R G200B V04.12およびそれ以前のバージョン
  • Si-RG V20系シリーズ
    • Si-R G210 V20.52およびそれ以前のバージョン
    • Si-R G211 V20.52およびそれ以前のバージョン
    • Si-R G120 V20.52およびそれ以前のバージョン
    • Si-R G121 V20.52およびそれ以前のバージョン
  • SR-Mシリーズ
    • SR-M 50AP1すべてのバージョン

詳細情報

富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-MシリーズのWeb管理インタフェースには、認証回避の脆弱性(CWE-287CVE-2023-38555)が存在します。

想定される影響

当該製品へアクセス可能な第三者によって、当該製品の設定情報を取得されたり、設定の変更やリセット等の操作が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
開発者によると、本脆弱性は次のファームウェアバージョンで修正されています。

  • Si-RG V2系シリーズ
    • Si-R G100 V02.55およびそれ以降のバージョン
    • Si-R G200 V02.55およびそれ以降のバージョン
  • Si-RG V4系シリーズ
    • Si-R G100B V04.13およびそれ以降のバージョン
    • Si-R G110B V04.13およびそれ以降のバージョン
    • Si-R G200B V04.13およびそれ以降のバージョン
  • Si-RG V20系シリーズ
    • Si-R G210 V20.53およびそれ以降のバージョン
    • Si-R G211 V20.53およびそれ以降のバージョン
    • Si-R G120 V20.53およびそれ以降のバージョン
    • Si-R G121 V20.53およびそれ以降のバージョン

ワークアラウンドを実施する
アップデートが提供されない製品については、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • 当該製品の設定変更により、HTTP/HTTPS機能を無効にする
  • 当該製品のWeb管理インタフェースを使用しない
開発者によると、Si-R 30BおよびSi-R 130Bについては、回避策を適用するため次のファームウェアバージョンにアップデートする必要があるとのことです。
  • Si-R 30B V02.05
  • Si-R 130B V04.09
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
富士通株式会社 該当製品あり 2023/07/26 富士通株式会社 の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:L
基本値: 6.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:A/AC:H/Au:N/C:P/I:C/A:P
基本値: 5.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 佐藤勝彦(goroh_kun) 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2023-38555
JVN iPedia

更新履歴

2023/08/02
[対策方法] を更新しました