IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性
具体的に脆弱性を見ると、「CVE-2020-11896」「CVE-2020-11897」については、共通脆弱性評価システムであるCVSSv3のベーススコアが最高値である「10」と評価されている。
「CVE-2020-11898」「CVE-2020-11901」も「9」以上となっており、これら4件については重要度が「クリティカル(Critical)」とレーティングされている。
研究者によって特に危険性を指摘されている脆弱性が、「DNSプロトコル」の処理に明らかとなっ「CVE-2020-11901」。デバイスからのDNSリクエストに対する応答によって脆弱性を悪用されるおそれがある。
DNSキャッシュポイズニングなどの手法を用いることで、インターネットへ公開されていない機器に対しても、外部から脆弱性を悪用することが可能。今回明らかとなった脆弱性のなかでも影響が大きい脆弱性であると指摘している。
脆弱性は、長年にわたるコードの変更により、いくつかのバリエーションがあるという。15件の脆弱性は、2020年3月3日にリリースされた「6.0.1.66」で対処されたが、「CVE-2020-11897」をはじめ、それ以前の旧版で修正されている脆弱性も一部含まれる。
(Security NEXT - 2020/06/18 )
ツイート
関連リンク
PR
関連記事