Tenable ブログ
ブログ通知を受信するGrandstreamデバイスの複数のリモートでコードが実行される脆弱性
GrandstreamデバイスのWebインターフェースに複数のセキュリティ脆弱性が発見されました。これらの脆弱性を突き、リモートでコードが実行されたり、プレーンテキストで保存されたユーザーの資格情報が読み取られる可能性があります。
背景
Threatpostによると、多数のGrandstreamテレフォニーおよびネットワーキングデバイスには、リモートコード実行(RCE)攻撃を引き起こす可能性がある複数の脆弱性が存在します。また、デバイスが侵害された場合、攻撃者はマルウェアをインストールしたり、ビデオ/オーディオレコーディングを有効にしたり、ローカルにプレーンテキストで保存されているすべての資格情報を読み取ることができます。
分析
Trustwave SpiderLabsの最初のアドバイザリでは、概念実証の例を含め、さまざまなRCE攻撃に対する脆弱性が詳しく説明されています。 攻撃者はこれらのデバイスのWebインターフェイスに悪意のあるHTTP要求を送信することによりそれらを制御し、オーディオ/ビデオ機能を盗聴したりマルウェアを埋め込む可能性があります。SpiderLabsの研究者らは、マルウェアを介してクロスサイトリクエストフォージェリ(CSRF)攻撃が仕掛けられる可能性があると報告しています。
影響を受けるデバイスと関連するファームウェア
認証前のリモートコマンド実行:
- GAC2500 -- F/W version: 1.0.3.30
- GVC3202 -- F/W version: 1.0.3.51
- GXP2200 -- F/W version: 1.0.3.27 (廃止品)
- GXV3275 -- F/W version: 1.0.3.210
- GXV3240 -- F/W version: 1.0.3.210
認証後のリモートコマンド実行:
- GXV3611IR_HD -- F/W version: 1.0.3.21
- UCM6204 – F/W version: 1.0.18.12
- GXV3370 -- F/W version: 1.0.1.33
- WP820 -- F/W version: 1.0.1.15
- GWN7000 -- F/W version: 1.0.4.12
- GWN7610 -- F/W version: 1.0.8.9
ソリューション
影響を受けるデバイスのファームウェアを最新バージョンにアップグレードすると、これらの脆弱性が修正されると報告されていまが、SpiderLabsの研究者らは、GAC2500用のパッチは不十分であり、他のデバイスもまだ脆弱である可能性があると述べています。また、デフォルトで有効になっているWebインターフェースを無効にすることにより、これらの脆弱性を軽減できます。
影響を受けているシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning