JVNVU#98128183
複数の Advantech 製品に脆弱性

複数の Advantech 製品には、脆弱性が存在します。

CVE-2021-22667

• BB-ESWGP506-2SFP-T Versions 1.01.09 およびそれ以前

• Spectre RT ERT351 firmware Version 6.1.10 より以前で動作する Advantech Spectre RT 産業用ルータ製品

Advantech 社が提供する複数の製品には、次の脆弱性が存在します。

• ハードコードされた認証情報の使用 (CWE-798) - CVE-2021-22667

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• クロスサイトスクリプティング (CWE-79) - CVE-2019-18233

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

  基本値: 4.3

• 重要な情報の平文での送信 (CWE-319) - CVE-2019-18231

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 過度な認証試行の不適切な制限 (CWE-307) - CVE-2019-18235

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 認証情報の不十分な保護 (CWE-522)

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

  基本値: 6.8

• 危険な暗号アルゴリズムの使用 (CWE-327) - CVE-2019-18237

  CVSS v3

  CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.0

• 脆弱なバージョンのサードパーティ製ソフトウェア (OpenSSL) の使用 (CWE-1103) - CVE-2019-18239

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 10.0

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

• 遠隔の第三者によって、ハードコードされた認証情報が取得され、任意のコードを実行される - CVE-2021-22667
• 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2019-18233
• 遠隔の第三者によって、平文形式で送信されたログイン認証情報を窃取される - CVE-2019-18231
• 総当たり攻撃 (Brute force attack) により、遠隔の第三者によってルートパスワードを取得される - CVE-2019-18235
• 遠隔の第三者によって、HTTP 通信を傍受し、Web 管理画面上に平文形式で表示されたサービスのパスワードを窃取される - 認証情報の不十分な保護
• 第三者によって、/etc/passwd ファイルを解読され、ファイル内のパスワードを窃取される- CVE-2019-18237
• 遠隔の第三者によって、 OpenSSL の既知の脆弱性を利用し、サービス運用妨害 (DoS) 状態などにされる - CVE-2019-18239

アップデートする - CVE-CVE-2019-18233、CVE-2019-18235、認証情報の不十分な保護、CVE-2019-18237、CVE-2019-18239
開発者が提供する情報をもとに、修正済みバージョンにアップデートしてください。
また開発者は、サードパーティ製ソフトウェアの脆弱性に対応するため、常に最新バージョンを利用することを推奨しています。

ワークアラウンドを実施する - CVE-2019-18231
HTTP を無効にして HTTPS を利用して通信を行う。

製品の使用を停止する - CVE-2021-22667
開発者によると当該製品のサポートは既に終了しているため、恒久的な対策として、製品の使用を停止してください。
開発者によると EKI-7708-4FPI などの代替製品の利用を推奨しています。