PLANET Technology Switches Face CVE-2024-8456 (CVSS 9.8), Urgent Firmware Updates Advised
2024/09/30 SecurityOnline — 先日に TWCERT/CC が発表したセキュリティ勧告は、PLANET Technology の各種スイッチ・モデルに影響をおよぼす、複数の脆弱性に関するものだ。これらの脆弱性は深刻度に幅があり、リモート・コード実行/不正アクセス/サービス拒否などに至る可能性が生じている。
脆弱性の詳細
TWCERT/CC が公開した、それぞれの脆弱性の詳細は下記の通りだ:
- CVE-2024-8448/CVE-2024-8449:ハードコードされた認証情報
ファームウェア内に文書化されていない認証情報が埋め込まれており、不正アクセスやパスワードの復元が可能になる。 - CVE-2024-8459:平文パスワードの保存
機密性の高い認証情報が暗号化されずに保存されており、不正アクセスを容易にしている。 - CVE-2024-8458:CSRF (Cross-Site Request Forgery)
認証済みユーザーになりすまし、不正な操作を実行することを、攻撃者に許す脆弱性。 - CVE-2024-8457:XSS (Cross-Site Scripting)
他のユーザーが閲覧する Web ページに悪意のスクリプトが注入され、データ盗難やセッション・ハイジャックにつながる可能性を生じる。 - CVE-2024-8456 (CVSS 9.8):認証の欠落
適切なアクセス制御の欠如により、重要な機能への不正アクセスが可能になり、悪意のファームウェアのアップロードなどにいたる恐れがある。 - CVE-2024-8455:脆弱なパスワードのエンコード
安全ではないパスワードのエンコードにより、クラッキングの可能性が高まる。 - CVE-2024-8452/CVE-2024-8453:安全でないハッシュ関数
時代遅れのハッシュ・アルゴリズムを使用しているため、保存された認証情報のセキュリティが損なわれる。 - CVE-2024-8454/CVE-2024-8451:DoS (Denial of Service)
悪用されると、デバイスが使用不能になる脆弱性がある。
影響を受ける製品
これらの脆弱性は、PLANET Technology スイッチの以下のモデルに影響を及ぼす:
- GS-4210-24PL4C (hardware 2.0)
- GS-4210-24P2S (hardware 3.0)
- IGS-5225-4UP1T2S (hardware 1.0) – End of Life
緩和策
すでに PLANET Technology は、ファームウェアのアップデートをリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、以下の最新ファームウェア・バージョンにより、デバイスを更新することだ。
- GS-4210-24PL4C (hardware 2.0): Version 2.305b240719 以降
- GS-4210-24P2S (hardware 3.0): Version 3.305b240802 以降
なお、すでに IGS-5225-4UP1T2S は生産終了しているため、サポートも終了している。したがって、 交換が推奨される。
推奨事項
PLANET Technology スイッチの、ネットワーク管理者およびユーザーに推奨されるのは、以下の対応の実施である。
- 交換の検討:サポートが終了したデバイスを交換し、セキュリティとサポートを継続的に確保する。
- アップデートの迅速な適用:推奨されるファームウェアのアップデートを、遅滞なく実施する。
- ネットワーク・アクティビティの監視:ネットワーク監視/侵入検知システムを採用し、疑わしいアクティビティを特定する。
- セキュリティ・ポリシーの見直し:強力なパスワード・ポリシーとアクセス制御を徹底する。
PLANET について調べてみたら、日本語コンテンツがたくさんあって、どれも産業用ルーターだと紹介していました。したがって、日本国内でもシェアがあるものだと推測できます。ご利用のチームは、ご注意ください。よろしければ、Router で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.