IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性

JSOFの研究者は、今回明らかとなった脆弱性のうち、「CVE-2020-11896」「CVE-2020-11898」についてテクニカルレポートをまとめており、詳細を明らかにしているほか、対象製品を識別するためのスクリプトを用意した。

同研究者やセキュリティ機関では、最新版となる「Treck IP Stack 6.0​​.1.67」以降への更新を呼びかけている。またデバイスのアップデートが行えない場合は、対象機器へのアクセスを制限し、異常なトラフィックを遮断するといった緩和策の実施が呼びかけられている。

脆弱性の開示にあたっては、米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）のICS-CERTやCER/TCC、JPCERTコーディネーションセンターなどとの調整が行われた。CERT/CCを通じて対象ベンダーのリストが公開されている。

国内の対象機器についても、今後脆弱性情報のポータルサイトであるJVNなどを通じて注意喚起が行われると見られる。今回明らかとなった脆弱性は以下の通り。

CVE-2020-11896
CVE-2020-11897
CVE-2020-11898
CVE-2020-11899
CVE-2020-11900
CVE-2020-11901
CVE-2020-11902
CVE-2020-11903
CVE-2020-11904
CVE-2020-11905
CVE-2020-11906
CVE-2020-11907
CVE-2020-11908
CVE-2020-11909
CVE-2020-11910
CVE-2020-11911
CVE-2020-11912
CVE-2020-11913
CVE-2020-11914

（Security NEXT - 2020/06/18 ） ツイート

PR

関連記事