内容をスキップ
■概要
三菱電機製の家電製品に、HTTP 接続で Basic 認証を使用していることに起因する、情報漏えいの脆弱性が存在することが 判明しました。HTTP 接続で Basic 認証を使用すると、第三者が盗聴により認証情報(ユーザ名、パスワード)を入手することがで きます。第三者への認証情報(ユーザ名、パスワード)の漏えいは不正アクセスにつながります。この脆弱性を悪意のある攻撃者 に悪用された場合、結果として情報漏えい又は情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥る等の可 能性があります(CVE-2022-33321)。本脆弱性の影響を受ける製品名を以下に示しますので、対策又は軽減策・回避策の実施 をお願いいたします。
■CVSS スコア CVE-2022-33321 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値:5.9
■脆弱性の説明
三菱電機製の複数の家電製品は、HTTP 接続で Basic 認証を使用しています。Basic 認証は、認証情報(ユーザ名、パスワー ド)を Base64 エンコードして、Web サーバに送信します。認証情報(ユーザ名、パスワード)は暗号化されません。そのため、通信 データが平文で流れる HTTP 接続で Basic 認証を使用すると、第三者が盗聴により認証情報(ユーザ名、パスワード)を入手する ことができます。(CWE-319)
■脆弱性がもたらす脅威
第三者への認証情報(ユーザ名、パスワード)の漏えいは不正アクセスにつながります。この脆弱性を悪意のある攻撃者に悪 用された場合、結果として情報漏えい又は情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥る等の可能性 があります。
■対象
[1] 【太陽光発電システム カラーモニター エコガイド】
[2]【HEMS 対応アダプター・無線 LAN アダプター】
[3]【ルームエアコン】
[4]【IHクッキングヒーター】
[5]【三菱 HEMS 用エネルギー計測ユニット】
[6]【無線 LAN アダプター】
[7]【ルームエアコン・無線 LAN アダプター】
[8]【冷蔵庫】
[9]【ヒートポンプ給湯機・HEMS 対応アダプター、無線 LAN アダプター】
[10]【バス乾燥・暖房・換気システム】
[11]【炊飯器】
[12]【三菱 HEMS 用 制御アダプター、無線 LAN アダプター】
[13]【ロスナイセントラル換気システム】
[14]【スマートスイッチ】
[15]【バス乾燥・暖房・換気システム】
[16]【ダクト用換気扇】
[17]【レンジフードファン】
[18]【ロスナイセントラル換気システム】
[19]【HEMS 対応アダプター、LAN アダプター】
[20]【エネルギー計測ユニット】
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-010.pdf
