フルノシステムズ製の一部スイッチにパスワード未設定の脆弱性

フルノシステムズ製マネージド・スイッチ「ACERA 9010」シリーズにおいて、初期パスワードが未設定となっている脆弱性が判明した。

脆弱性情報のポータルサイトであるJVNによれば、「ACERA 9010-24」「ACERA 9010-08」の工場出荷設定では、パスワードが未設定のまま、リモートアクセスが可能となっている脆弱性「CVE-2024-28744」が判明したという。

出荷時の設定から変更せずに使用している場合、脆弱性の影響を受け、認証なしにログインされ、ネットワーク設定やユーザ情報等を窃取されたり変更されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。

パスワードを設定したり、UNIFASサーバと連携する「MSモード」で運用している場合は脆弱性の影響を受けない。

同社では取扱説明書などを参考にコマンドラインよりパスワードを設定し、リモートアクセス機能を無効化するよう呼びかけている。またリモートアクセスをやむを得ず利用する場合は、IPアドレスによる制御を行うよう求めた。

（Security NEXT - 2024/04/03 ） ツイート

PR

関連記事

メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
サイトで閲覧障害、影響や詳細を調査 - メディキット
緊急連絡用職員名簿をポーチごと紛失、翌日回収 - 江戸川区
指導要録の紛失判明、過去に緊急点検するも見落とし - 杉並区
複数フォームで設定ミス、入力情報が閲覧できる状態に - Acompany
スポーツ用品販売のヒマラヤ公式Xが乗っ取り被害 - なりすましDMに注意
UTM設置時のテストアカウントが未削除、ランサム感染の原因に
カンファレンスイベント「CODE BLUE 2024」、講演者募集を開始
「Ruby」に3件の脆弱性、アップデートで修正を実施