公開日:2013/06/27 最終更新日:2013/06/27

JVNVU#99235742
DASDEC および R189 One-Net に脆弱性

概要

Digital Alert Systems が提供する DASDEC および Monroe Electronics が提供する R189 One-Net のファームウェアには、複数の脆弱性が存在します。

影響を受けるシステム

  • Digital Alert Systems DASDEC-I ファームウェア 2.0-2 より前のバージョン
  • Digital Alert Systems DASDEC-II ファームウェア 2.0-2 より前のバージョン
  • Monroe Electronics R189 One-Net ファームウェア 2.0-2 より前のバージョン
  • Monroe Electronics R189SE One-NetSE ファームウェア 2.0-2 より前のバージョン

詳細情報

Digital Alert Systems が提供する DASDEC および Monroe Electronics が提供する R189 One-Net には、予測可能なセッション ID やパスワードが生成されたり、設定情報がログに出力されたりするなど、複数の脆弱性が存在します。さらに、DASDEC および R189 One-Net のファームウェアイメージは、root アカウントで使用するデフォルトの SSH 秘密鍵が設定されている状態で公開されています。

想定される影響

第三者によって、以下のような影響を受ける可能性があります。

  • SSH 秘密鍵を使用した root 権限でのログイン
  • セッションハイジャック
  • 予測可能な、もしくはデフォルトのパスワードを使用した root 権限でのログイン
  • ログからの設定情報などの取得

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。

詳しくは、開発者にお問い合わせください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 影響を受ける SSH 秘密鍵を使用しない
  • アクセスを制限する
  • パスワードをデフォルト設定から変更する

ベンダ情報

ベンダ リンク
Monroe Electronics Inc. Digital EAS Encoder/Decoder R189
Digital Alert Systems EAS Encoder-Decoder

参考情報

  1. CERT/CC Vulnerability Note VU#662676
    Digital Alert Systems DASDEC and Monroe Electronics R189 One-Net firmware exposes private root SSH key
  2. US-CERT Alert (TA13-175A)
    Risks of Default Passwords on the Internet

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-0137
JVN iPedia