独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月30日、シャープ製クラウド連携エネルギーコントローラ(機器連携コントローラ)における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の馬場将次氏が報告を行っている。影響を受けるシステムは以下の通り。
クラウド連携エネルギーコントローラ(機器連携コントローラ)
JH-RVB1 Ver.B0.1.9.1 およびそれ以前
JH-RV11 Ver.B0.1.9.1 およびそれ以前
シャープ株式会社が提供するクラウド連携エネルギーコントローラ(機器連携コントローラ)には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・認証不備の脆弱性(CVE-2024-23783)
→当該製品にアクセス可能な第三者によってベーシック認証を必要とせずアクセスされる
・アクセス制御の不備(CVE-2024-23784)
→当該製品にアクセス可能な第三者によって管理画面に表示されるユーザー名およびハッシュ化されたパスワードを取得される
・クロスサイトリクエストフォージェリ(CVE-2024-23785)
→当該製品にアクセス可能な第三者によって当該製品の設定が変更される
・格納型クロスサイトスクリプティング(CVE-2024-23786)
→当該製品の管理画面にアクセスしているユーザーのウェブブラウザ上で任意のスクリプトが実行される
・パストラバーサル(CVE-2024-23787)
→当該製品にアクセス可能な第三者によって当該製品上の任意のファイルを取得される
・サーバーサイドリクエストフォージェリ(CVE-2024-23788)
→当該製品にアクセス可能な第三者によって当該製品から任意のHTTPリクエスト(GET)を送信される
・OSコマンドインジェクション(CVE-2024-23789)
→当該製品にアクセス可能な第三者によって当該製品上で任意のコマンドを実行される
JVNでは、クラウド連携エネルギーコントローラ(機器連携コントローラ)をVer.B0.2.0.0にアップデートするよう呼びかけている。なお、クラウド連携エネルギーコントローラ(機器連携コントローラ)は、インターネットに接続されている環境で自動アップデートが適用される。
または、下記の回避策もしくは軽減策の適用を推奨している。
・当該製品を直接インターネットに接続せず、ルーター等で保護されたネットワーク内で使用する
・無線LANルーターを使用している場合は、強固な暗号化方式の設定をする
・管理用パスワードを初期状態から変更する
・ファームウェアを常に最新の状態に保つ
