+F(プラスエフ)FS040U 「クロスサイトリクエストフォージェリ」および「パスワード管理不備」の脆弱性
概要
平素は当社の製品をご利用いただき、誠にありがとうございます。
+F FS040Uに2種類の脆弱性が存在することが判明しました。
脆弱性①:クロスサイトリクエストフォージェリの脆弱性
脆弱性②:パスワード管理不備の脆弱性
脆弱性①を悪用された場合、+F FS040Uが「初期化(工場出荷設定)」,「再起動」される可能性があります。
脆弱性②を悪用された場合、「設定ツールのログインパスワードが知られる」可能性があります。
※脆弱性①②は、出荷時の動作モードが「セキュア接続(モデムモード)」では発生しません。
※脆弱性①は「設定ツール」からログアウトしている状態では発生しません。
※脆弱性②は「設定ツール」のパスワード設定が工場出荷の状態では発生しません。(工場出荷状態:パスワード無しでログイン可能)
この問題の影響を受ける+F FS040Uのバージョンを以下に示しますので、ソフトウェアをバージョンアップしてください。
脆弱性に該当する製品名およびバージョン
影響を受ける製品は以下の製品です。
製品名称:+F FS040U
該当バージョン:V2.3.4 以前のバージョン
出荷時の動作モード:「簡単接続」(※1)
※1.出荷時の動作モード:「セキュア接続(モデムモード)」では、本脆弱性は発生しません。
<動作モードの確認方法>
動作モードの確認方法は「動作モードを確認する方法を教えてください。」を参照してください。
<バージョンの確認方法>
バージョンの確認方法はこちらを参照してください。
脆弱性の内容
①「クロスサイトリクエストフォージェリの脆弱性」
+F FS040Uの「簡単接続」モードは、パソコンのブラウザから+F FS040Uを設定する「設定ツール」機能を搭載しています。
「設定ツール」にログインした状態で、本脆弱性をつく悪意のあるサイトをパソコンのブラウザで表示させた場合、 以下の操作をされる恐れがあります。
・初期化(工場出荷設定)
・+F FS040Uの再起動
②「パスワード管理不備の脆弱性」
+F FS040Uの「簡単接続」モードは、「設定ツール」機能へのログインパスワード設定が可能です。
+F FS040Uの「設定ツール」にログインパスワードを設定した場合、第三者が物理的に+F FS040Uを取得し、内在する脆弱性をつくことにより、 「設定ツール」へのログインパスワードを入手する恐れがあります。
※工場出荷状態はパスワード未設定です。
※ネットワーク接続に利用するパスワードが入手される脆弱性ではありません。
脆弱性への対策方法
ソフトウェアをバージョンアップすることで脆弱性への対策が可能です。
現在お使いのソフトウェアバージョンによってアップデートファイルのバージョンが異なりますのでご注意ください。
誤ったバージョンへアップデートすると+F FS040Uは正常動作しなくなり有償修理となります。
V2.3.4以下に該当しないバージョン方は、「お問い合わせ先」までご連絡ください。
V2.3.4以下 ⇒ V2.3.5へバージョンアップが必要
アップデートの注意事項は「FS040U User Guide」の「ソフトウェアアップデート」をよくお読みください。
<ソフトウェアのバージョンアップ方法>
ソフトウェアのバージョンアップ方法はこちらを参照してください。
関連情報
脆弱性関連情報識別番号
JVN#74285622
Japan Vulnerability Notes
https://jvn.jp/
JPCERT Coordination Center
http://www.jpcert.or.jp/
IPA 情報処理推進機構
http://www.ipa.go.jp/
謝辞
この脆弱性情報公表にあたり脆弱性発見者の長谷川 智久様ならびにご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます。
更新履歴
2022年10月28日
この脆弱性情報ページを公開しました。
お問い合わせ先
ご不明な点がございましたら下記窓口までお問い合わせください。
| 受付時間: |
9:00~17:00(土日、祝日、夏季休暇及び年末年始を除く営業日)
|
|---|---|
| 電話番号: |
050-3000-2752
|
| お問い合わせフォーム: |
以 上