検出

FatPipe MPVPN < 10.1.2r60p91 / 10.2.2 < 10.2.2r42 の複数の脆弱性

critical Nessus プラグイン ID 176378

Language:

概要

リモートサーバーで実行されているウェブアプリケーションは複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている FatPipe MPVPN のインスタンスは < 10.1.2r60p91 または 10.2.2 < 10.2.2r42 です。そのため、以下を含む複数の脆弱性による影響を受けます:

 - バージョン 10.1.2r60p91 および 10.2.2r42 より前の FatPipe WARP、IPVPN、MPVPN ソフトウェアには、管理者権限があり、パスワードがないアカウント「cmuser」が含まれています。(CVE-2021-27856)

 - バージョン 10.1.2r60p91 および 10.2.2r42 より前の FatPipe WARP、IPVPN、MPVPN ソフトウェアでは、読み取り専用権限を持つ認証されたリモート攻撃者が自分自身に管理者権限を付与する可能性があります。(CVE-2021-27855)

 - バージョン 10.1.2r60p91 および 10.2.2r42 より前の FatPipe WARP、IPVPN、MPVPN ソフトウェアの Web 管理インターフェースには、読み取り専用権限を持つ認証されたリモート攻撃者が、管理者権限を持つアカウントを作成できる、認証欠落の脆弱性があります。(CVE-2021-27859)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

FatPipe MPVPN 10.1.2r60p91 または 10.2.2r42 以降にアップグレードしてください。

参考資料

https://www.fatpipeinc.com/fpsa/fpsa001.php

https://www.fatpipeinc.com/fpsa/fpsa002.php

https://www.fatpipeinc.com/fpsa/fpsa003.php

https://www.fatpipeinc.com/fpsa/fpsa004.php

https://www.fatpipeinc.com/fpsa/fpsa005.php

プラグインの詳細

深刻度: Critical

ID: 176378

ファイル名: fatpipe_mpvpn_10_2_2r42.nasl

バージョン: 1.1

タイプ: remote

ファミリー: CGI abuses

公開日: 2023/5/25

更新日: 2023/5/29

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-27856

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fatpipeinc:mpvpn_firmware

必要な KB アイテム: installed_sw/FatPipe MPVPN

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/12/15

脆弱性公開日: 2021/12/15

参照情報

CVE: CVE-2021-27855, CVE-2021-27856, CVE-2021-27857, CVE-2021-27858, CVE-2021-27859