JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月4日、「JVNVU#91909595: Airspan Networks社の複数のMimosa製品における複数の脆弱性」において、Airspan Networksが提供する複数のネットワーク管理ソフトウェアに複数の脆弱性が報告されていると伝えた。

これらの脆弱性を悪用されると、攻撃者によって対象のシステム上で任意のコードやコマンドの実行、サービス拒否(DoS)攻撃、機密情報の窃取、秘密鍵へのアクセスなどの攻撃を行われる危険性がある。

脆弱性の影響を受けるのは、複数のネットワーク管理プラットフォームであるMimosa製品ラインに含まれる次の製品、およびバージョン。

  • MMP v1.0.3より前のバージョン
  • PTP Cシリーズ v2.8.6.1より前のバージョン
  • PTMP Cシリーズ v2.5.4.1より前のバージョン
  • PTMP A5x v2.5.4.1より前のバージョン

報告されている脆弱性は次のとおり(括弧内は脆弱性の深刻度を表すCVSS v3のベーススコア)

  • CVE-2022-21196: 不適切な認可処理(10.0)
  • CVE-2022-21141: 不正な認証 (10.0)
  • CVE-2022-21215: サーバサイドリクエストフォージェリ (10.0)
  • CVE-2022-21176: SQLインジェクション (8.6)
  • CVE-2022-0138: 信頼されていないデータのデシリアライズ (7.5)
  • CVE-2022-21143: OSコマンドインジェクション (9.8)
  • CVE-2022-21800: 解読される恐れの高い暗号アルゴリズムの使用 (6.5)

悪用された場合に想定される影響は脆弱性によって異なるが、次のような影響を受ける恐れがあると指摘されている。

  • リモートの第三者による任意のコード実行、サービス拒否(DoS)状態、機微な情報の窃取(CVE-2022-21196、CVE-2022-21141)
  • リモートの第三者による任意のコード実行(CVE-2022-21143)
  • リモートの第三者によるクラウドホスティングプラットフォームへのルートアクセス、秘密鍵へのアクセス、構成の変更(CVE-2022-21215)
  • リモートの第三者による機微な情報の窃取(CVE-2022-21176)
  • リモートの第三者による任意のクラスの作成(CVE-2022-0138)
  • リモートの第三者によるハッシュ化したパスワードを解読(CVE-2022-21800)

それぞれ、Airspan Networksがリリースした最新版にアップデートすることで、これらの脆弱性の影響を回避することができる。深刻度が「Critical(緊急)」や「High(高)」に分類される脆弱性も含まれているため、早急に対処することが推奨される。

  • JVNVU#91909595: Airspan Networks社の複数のMimosa製品における複数の脆弱性

    JVNVU#91909595: Airspan Networks社の複数のMimosa製品における複数の脆弱性