Cisco Talos はこのほど、Advantech R-SeeNet モニタリングソフトウェアに複数の脆弱性を発見しました。
R-SeeNet は、Advantech 社のルータをモニタリングするためのソフトウェアシステムです。ネットワーク内の個々のルータから継続的に情報を収集し、そのデータを SQL データベースに記録します。Talos が発見した脆弱性は、R-SeeNet の Web アプリケーション内のさまざまなスクリプトに存在します。
TALOS-2021-1270(CVE-2021-21799)、TALOS-2021-1271(CVE-2021-21800)、TALOS-2021-1272(CVE-2021-21801 ~ CVE-2021-21803)はすべて、標的のユーザのブラウザのコンテキストで攻撃者が任意の JavaScript コードを実行できるようになる脆弱性です。攻撃者は、標的に悪意のある URL を送信し、ユーザをだまして開かせることで、これらの脆弱性をエクスプロイトする可能性があります。
TALOS-2021-1274(CVE-2021-21805)もコマンド実行の脆弱性です。攻撃者が標的のデバイスに細工された HTTP リクエストを送信することで、OS コマンドを実行する危険性があります。
また、ファイルインクルージョンの脆弱性も見つかっており、攻撃者が任意の PHP コマンドを実行する可能性があります。TALOS-2021-1273(CVE-2021-21804)は、R-SeeNet の options.php スクリプト機能に存在し、悪意のある HTTP リクエストによってトリガーされる可能性があります。
Advantech 社からは公式アップデートはリリースされていませんが、シスコの脆弱性開示ポリシー(90 日以内に対応)に従って、Talos はこの脆弱性を開示しています。
影響を受ける製品 Advantech R-SeeNet バージョン 2.4.12(20.10.2020)をお使いであれば、できるだけ早く更新することをお勧めします。Talos では、このバージョンの R-SeeNet が今回の脆弱性によってエクスプロイトされる可能性があることをテストして確認済みです。
脆弱性のエクスプロイトは、SNORTⓇ ルール(57290 ~ 57293、57305 ~ 57309、57338、57339)で検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
本稿は 2021 年 07 月 15 日に Talos Group のブログに投稿された「Vulnerability Spotlight: Multiple vulnerabilities in Advantech R-SeeNet」の抄訳です。