United States Computer Emergency Readiness Team (US-CERT)は2月23日(米国時間)、Advantechが提供する以下の製品にリモートから悪用可能な脆弱性が存在すると伝えた。認証データがハードコードされていることに原因があるとされており、機密データの窃取やリモートからのコード実行などを実施されるおそれがある。この脆弱性は簡単に悪用できるため注意が必要。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- BB-ESWGP506-2SFP-T インダストリアルイーサネットスイッチ: バージョン1.01.09およびこれよりも前のバージョン
- Spectre RT ERT351 ファームウェアバージョン5.1.3およびこれよりも前のバージョン
脆弱性に関する情報は次のページにまとまっている。
BB-ESWGP506-2SFP-Tはすでに販売および保守が終了しており、アップデートの提供は行われていない。AdvantechはBB-ESWGP506-2SFP-Tに関してはEKI-7708-4FPIなどの後続モデルへ入れ替えることを推奨している。
Spectre RT ERT351は新たなバージョンのファームウェアが公開されており、Advantechは脆弱性が修正されたバージョンへアップデートすることを推奨している。アップデートに関する情報は次のページにまとまっている。
-
SA-2021-01 Security Vulnerabilities in Firmware Versions 5.1.3 and Older
脆弱性は深刻度がCVSSv3スコア9.8で緊急(Critical)に分類されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、脆弱性が悪用されるリスクを最小限に抑えるために防御策を講じることを推奨している。
