【注意喚起】FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2022/at220013.html
引用元: JPCERTコーディネーションセンター　注意喚起

FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起がありました。

I. 概要
2022年5月9日、富士通株式会社はFUJITSU Network IPCOMの複数の脆弱性に関する情報を公開しました。本脆弱性を悪用されると遠隔の第三者によって任意のOSコマンドが実行されるなどの可能性があります。

　富士通株式会社
　IPCOM シリーズのコマンド操作端末／Webブラウザ端末とIPCOM間通信における脆弱性について
　https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

対象となる製品を利用している場合には富士通株式会社の情報を参照し、アップデートや回避策の適用を検討してください。

II. 対象
対象となる製品は次のとおりです。

　- IPCOM EX2シリーズ
　- IPCOM EXシリーズ
　- IPCOM VE2シリーズ
　- IPCOM VA2/VE1シリーズ

III. 対策
富士通株式会社から、修正済みファームウェアが公開されています。対象の製品を早期に最新ファームウェアにアップデートしてください。

　- IPCOM EX2シリーズ（V01L0x系）V01L05 NF0501
　- IPCOM EXシリーズ（E20系）E20L33 NF1101

調査中製品の修正ファームウェア公開状況については、適宜富士通株式会社の公開情報やJVNを確認してください。

IV. 回避策
本脆弱性は攻撃者からIPCOMの管理インタフェースにアクセス可能な場合のみ発生します。次のいずれかの回避策を適用し、許可された運用管理端末以外からの不正なアクセスを防ぐことで本脆弱性の悪用を回避できます。

　- 運用管理端末を配置する専用のネットワークを用意し、運用管理インタフェースへのアクセスを
　　このネットワークからのみに制限する
　- 個々の運用管理端末に対してアクセス許可を設定する

V. 参考情報
　富士通株式会社
　IPCOM シリーズのコマンド操作端末／Webブラウザ端末とIPCOM間通信における脆弱性について
　https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

　Japan Vulnerability Notes JVN#96561229
　FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
　https://jvn.jp/jp/JVN96561229/