セキュリティの
学び場

今回の解説ニュース

今回の脆弱性は、Proscend Communicationsが提供する産業用LTEルータ M330-WおよびM330-W5 にOSコマンドインジェクションの脆弱性が存在するというものです。

影響を受けるシステムは、M330-W V1.11より前のバージョン、およびM330-W5 V1.11より前のバージョンです。影響として、当該製品にアクセス可能な攻撃者によって、任意のOSコマンドを実行される可能性があるということです。深刻度を表すCVSSv3の基本値は8.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2022-36779」で検索してみてください。

発見された脆弱性の概要

OSコマンドインジェクションの脆弱性を悪用されると、本来は権限を持たない第三者が、システムを乗っ取ったり、別のサイバー攻撃を行うための踏み台にしたりできる可能性があります。

まず、それぞれの単語について、OSコマンドは今回のLTEルータだけでなく、みなさんがお使いのパソコンやスマートフォンなど、システムに対して命令を行う基本ソフトウェアです。一方で、インジェクションは挿入するという意味です。つまり、OSコマンドインジェクションは、システムに対する命令を挿入することができる脆弱性ということができます。

悪意を持った攻撃者であれば、挿入するシステムへの命令も悪意を持ったものになり、不正アクセスに利用されることが考えられます。具体的には、不正なOSコマンドを挿入することで、攻撃対象となったシステムを乗っ取ったり、別のサイバー攻撃を行うための踏み台にする可能性があります。

同様の製品を使っている際に気を付けるべきポイント

他社のLTEルータや、Wifiルータを含めた他の機器でも、同様の脆弱性がないか注意しておく必要があります。

特定の機器に脆弱性が見つかると、同様の脆弱性がないか他社の機器も調査される可能性があります。理由として、オープンソースなど、脆弱性が発見された機器と同じソフトウェアを利用していることで、他社の機器でも同じ脆弱性が存在している可能性があるからです。

また、深刻度の高い1つの脆弱性が公開されると、その機器の開発元だけでなく、悪意を持った攻撃者も同様の脆弱性がないか、他社の機器に対して調査される可能性があります。よって、他社の機器だけでなく類似する製品でも、同様の脆弱性が公開される可能性が考えられます。

しばらくの間、開発元が公開するセキュリティ情報に注目してください。因果関係は不明ですが、先週も深刻度の高い脆弱性が公開されており、今週もその傾向が継続しています。全体としてセキュリティの脅威が高まっている状況と言えますので、重要な情報資産については特に、セキュリティ情報へ注目するようにしましょう。セキュラジでも引き続き、最新のセキュリティ情報をお届けしてまいります。