米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月4日(米国時間)、「Advantech WISE-PaaS RMM|CISA」において、Advantech WISE-PaaS/RMMに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報を窃取される危険性があるとされている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Advantech WISE-PaaS/RMM versions 9.0.1よりも前のバージョン
-
Advantech WISE-PaaS RMM | CISA
該当するプロダクトには管理者のユーザー名とパスワードがハードコードされているという問題があるという。この脆弱性を悪用されると、攻撃者によって機密情報を窃取される危険性があるとされている。
脆弱性の深刻度はCVSSv3スコアで9.1の緊急(Critical)に分類されており注意が必要。また、該当するプロダクトは既に販売されておらず、メンテナンス期間も終了している。Advantechはユーザーに対して「Advantech WISE-DeviceOn」などの後継機へ置き換えることを推奨している。
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーに対し、脆弱性が攻撃に悪用された場合のリスクを最小限にするための対策を取ることを推奨している。
