JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月4日、「JVNVU#91909595: Airspan Networks社の複数のMimosa製品における複数の脆弱性」において、Airspan Networksが提供する複数のネットワーク管理ソフトウェアに複数の脆弱性が報告されていると伝えた。
これらの脆弱性を悪用されると、攻撃者によって対象のシステム上で任意のコードやコマンドの実行、サービス拒否(DoS)攻撃、機密情報の窃取、秘密鍵へのアクセスなどの攻撃を行われる危険性がある。
脆弱性の影響を受けるのは、複数のネットワーク管理プラットフォームであるMimosa製品ラインに含まれる次の製品、およびバージョン。
- MMP v1.0.3より前のバージョン
- PTP Cシリーズ v2.8.6.1より前のバージョン
- PTMP Cシリーズ v2.5.4.1より前のバージョン
- PTMP A5x v2.5.4.1より前のバージョン
報告されている脆弱性は次のとおり(括弧内は脆弱性の深刻度を表すCVSS v3のベーススコア)
- CVE-2022-21196: 不適切な認可処理(10.0)
- CVE-2022-21141: 不正な認証 (10.0)
- CVE-2022-21215: サーバサイドリクエストフォージェリ (10.0)
- CVE-2022-21176: SQLインジェクション (8.6)
- CVE-2022-0138: 信頼されていないデータのデシリアライズ (7.5)
- CVE-2022-21143: OSコマンドインジェクション (9.8)
- CVE-2022-21800: 解読される恐れの高い暗号アルゴリズムの使用 (6.5)
悪用された場合に想定される影響は脆弱性によって異なるが、次のような影響を受ける恐れがあると指摘されている。
- リモートの第三者による任意のコード実行、サービス拒否(DoS)状態、機微な情報の窃取(CVE-2022-21196、CVE-2022-21141)
- リモートの第三者による任意のコード実行(CVE-2022-21143)
- リモートの第三者によるクラウドホスティングプラットフォームへのルートアクセス、秘密鍵へのアクセス、構成の変更(CVE-2022-21215)
- リモートの第三者による機微な情報の窃取(CVE-2022-21176)
- リモートの第三者による任意のクラスの作成(CVE-2022-0138)
- リモートの第三者によるハッシュ化したパスワードを解読(CVE-2022-21800)
それぞれ、Airspan Networksがリリースした最新版にアップデートすることで、これらの脆弱性の影響を回避することができる。深刻度が「Critical(緊急)」や「High(高)」に分類される脆弱性も含まれているため、早急に対処することが推奨される。