Proscend Communications製M330-WおよびM330-W5に脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・発見された脆弱性の概要
・同様の製品を使っている際に気を付けるべきポイント
今回の解説ニュース
今回の脆弱性は、Proscend Communicationsが提供する産業用LTEルータ M330-WおよびM330-W5 にOSコマンドインジェクションの脆弱性が存在するというものです。
影響を受けるシステムは、M330-W V1.11より前のバージョン、およびM330-W5 V1.11より前のバージョンです。影響として、当該製品にアクセス可能な攻撃者によって、任意のOSコマンドを実行される可能性があるということです。深刻度を表すCVSSv3の基本値は8.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2022-36779」で検索してみてください。
発見された脆弱性の概要
OSコマンドインジェクションの脆弱性を悪用されると、本来は権限を持たない第三者が、システムを乗っ取ったり、別のサイバー攻撃を行うための踏み台にしたりできる可能性があります。
まず、それぞれの単語について、OSコマンドは今回のLTEルータだけでなく、みなさんがお使いのパソコンやスマートフォンなど、システムに対して命令を行う基本ソフトウェアです。一方で、インジェクションは挿入するという意味です。つまり、OSコマンドインジェクションは、システムに対する命令を挿入することができる脆弱性ということができます。
悪意を持った攻撃者であれば、挿入するシステムへの命令も悪意を持ったものになり、不正アクセスに利用されることが考えられます。具体的には、不正なOSコマンドを挿入することで、攻撃対象となったシステムを乗っ取ったり、別のサイバー攻撃を行うための踏み台にする可能性があります。