三菱電機は9月29日、同社の複数の家電製品に、複数の脆弱性が存在することが判明したと発表した。対象の製品は多岐にわたるため、注意が必要。
1つ目の脆弱性は「CVE-2022-33321」で、HTTP接続でベーシック認証を使用していることに起因するもの。
同社の複数の家電製品は、HTTP接続でベーシック認証を使用しているが、同認証は認証情報(ユーザー名、パスワード)を Base64エンコードして、Web サーバに送信する。その際、認証情報は暗号化されない。
そのため、通信データが平文で流れる HTTP接続でベーシック認証を使用すると、第三者が盗聴により認証情報を入手することができる。
これにより、脆弱性「CVE-2022-33321」をに悪用された場合、情報漏えいや情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥ったりするなどの恐れがある。
また、解放済みメモリの使用(CWE-416)およびクロスサイトスクリプティング(CWE-79)に起因する脆弱性が存在することも判明している。
脆弱性「CVE-2022-29859」は、OSS(オープンソースソフトウェア)の DHCP の処理における上記の欠陥に起因して、サービス拒否(DoS)を引き起こす恐れがある。
脆弱性「CVE-2022-33322」は、Web サーバにおける入力内容のフィルタリング/検証が不十分であり、上記の欠陥に起因する悪意のあるスクリプトを含んだメッセージを応答する恐れがある。
攻撃者はこれらの脆弱性を悪用して、特別に細工したデータを送信することで対象機器をサービス停止(DoS)状態に陥らせたり、また、悪意のあるスクリプトを含んだメッセージを応答させることでユーザーのブラウザ上で悪意のあるスクリプトを実行し、情報漏えいなどを発生させることが可能となる。