CVE-2022-33202: L2Blockerセンサー設定画面における、認証回避の脆弱性

L2Blockerセンサー設定画面における、認証回避の脆弱性

■概要

当社が開発・販売する L2Blocker センサーの設定画面には、ログイン認証の回避が可能となる脆弱性が存在することが判明しました。これらの脆弱性を悪意のある攻撃者に悪用された場合、機器内の設定情報窃取や機能不全に陥る可能性があります。

■CVSS スコア(*)

CVE-2022-33202　　CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値:5.4
* CVSS スコア：情報システムの脆弱性に対する深刻度を評価する指標のこと

■影響を受けるシステム

L2Blocker オンプレミス版 Ver.4.8.5 およびそれ以前のバージョン ／クラウド版

■脆弱性の説明

L2Blocker センサーの設定画面 には、センサーに対して代替パスまたはチャネルを
利用することで認証回避が可能となる脆弱性（CWE-288）が存在します。

■脆弱性がもたらす脅威

L2Blocker センサーにアクセスできる第三者によって不正にログインされ、
機器内の設定情報窃取や機能不全に陥る可能性があります。

■対策方法

・L2Blocker オンプレミス版
保守ご契約者様専用のサポートサイトへログインし、バージョンアップ手順をご確認のうえ
最新版へアップデートしてください。本脆弱性は、以下のバージョンで修正されています。
Ver.4.8.6

・L2Blocker クラウド版
既にアップデートが実施されているため、お客様による対応は不要です。
※一部特別な環境でご利用中のお客様においては別途対応が発生する為、
対象のお客様には弊社よりご連絡させて頂きます。

■謝辞

本脆弱性をご報告いただいた、株式会社サイバーディフェンス研究所様に感謝いたします。

■お問合せ先