2021年10月29日
東京エレクトロンデバイス株式会社
クラウド IoT カンパニー
エッジクラウドソリューション部
Cassia IoT アクセスコントローラの脆弱性:セキュリティアドバイザリ(CVE-2021-22685)
1.概要
Cassia IoT アクセスコントローラの1.4.3において、ディレクトリトラバーサルの脆弱性(CVE-2021-22685)が発見されたことがCassia Networks社より発表されました。この脆弱性により、攻撃者は Dockerコンテナ内のCassia ACサーバーからのファイルを読み取ることが可能になります。 コンテナの外部では影響はなく、攻撃者はコンテナまたはホストマシン内のファイルを読み取ることはできません。現時点でお客様のデータが公開されたという証拠は見つかりませんでした。 Cassia Networks社はお客様と従業員のデータのセキュリティとプライバシーを最優先と位置づけ、セキュリティリスクと保護を継続的に監視してまいります。
2.影響を受ける製品
Cassia IoT アクセスコントローラー v1.4.3
3. 脆弱性ID
ICS CERT:https://us-cert.cisa.gov/ics/advisories/icsa-21-119-02 CVE ID:CVE-2021-22685
4.脆弱性の重大度
重大度の評価は、FIRST Common Vulnerability Scoring System(CVSS)v3を使用して実行されました。脆弱性の重大度に影響を与える可能性のあるCVSS環境スコアは、エンドユーザー組織のコンピューティング環境内の脆弱性の潜在的な影響を反映しているため、このアドバイザリでは提供されていません。したがって、エンドユーザー組織は、状況を分析し、環境スコアを指定することをお勧めします。
CVSS v3 Base Score: 6.2
CVSS v3 vector: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS v3 link: https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
5.推奨される即時アクション
即時アクションは必要ありません。この脆弱性は2020年3月にパッチが適用され、CassiaのACのバージョン1.4.3にのみ存在します。
6.脆弱性の詳細
CassiaのIoTAccess Controllerv.1.4.3に脆弱性が存在しました。攻撃者は 特別に細工されたメッセージをシステムノードに送信し、 ファイルの内容を公開することで脆弱性を悪用します。
7.恒久対策
Cassia Networksは、すべてのゲートウェイのセキュリティを確保する為に、アクセスコントローラをv.2.x以降にアップグレードすることを推奨します。 さらに、ユーザーは常に強力なパスワードを選択する必要があります。
v.2.xへのアップデート手順は以下FAQを参照ください。
【FW1.4.xからFW2.1.xへのアップデート手順】
https://cptechweb.teldevice.co.jp/hc/ja/articles/4406222466841
推奨されるセキュリティ慣行とファイアウォール構成は、プロセス制御ネットワークをネットワーク外部から発生する攻撃から保護することに役立ちます。そのような慣行には、そのプロセス制御システムが、許可されていない者によって直接アクセスされないよう物理的に保護されていること、インターネットへの直接のコネクションパスがないこと、および最小限のポートのみ公開したファイアウォールシステムによって他のネットワークから分離されていること、およびその他のケースバイケースで評価されていること、などが含まれます。プロセス制御システムはインターネットサーフィン、インスタントメッセージング、または電子メールの受信には使用されるべきではありません。ポータブルコンピュータと リムーバブルストレージメディアは、コントロールシステムに接続する前に、注意深くウイルススキャンを実行する必要があります。
以上