United States Computer Emergency Readiness Team (US-CERT)は3月23日(米国時間)、「GE Reason DR60|CISA」において、GE Reason DR60に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、デジタルフォールトレコーダーの制御権乗っ取り、遠隔からのコード実行、特権昇格などを実施されるおそれがある。
脆弱性に関する情報は次のページにまとまっている。
- GES-2021-002 (ログインが必要)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- GE Reason DR60 ファームウェアバージョン02A04.1よりも前のすべてのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- GE Reason DR60 ファームウェアバージョン02A04.1
-
GE Reason DR60|CISA
該当するプロダクトはハードコードされたパスワードを含んでいるほか、許可された権限を超えたコードの実行やコードインジェクションが可能とされている。この脆弱性を悪用するためのスキルのレベルは低く、リモートからの悪用が可能とされており注意が必要。脆弱性の深刻度はCVSSv3スコアで9.8で緊急(Critical)に分類されている。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。
