-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0013
                                                             JPCERT/CC
                                                            2022-05-09

                <<< JPCERT/CC Alert 2022-05-09 >>>

   FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220013.html


I. 概要
2022年5月9日、富士通株式会社はFUJITSU Network IPCOMの複数の脆弱性に関す
る情報を公開しました。本脆弱性を悪用されると遠隔の第三者によって任意の
OSコマンドが実行されるなどの可能性があります。

    富士通株式会社
    IPCOM シリーズのコマンド操作端末／Webブラウザ端末とIPCOM間通信における脆弱性について
    https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

対象となる製品を利用している場合には富士通株式会社の情報を参照し、アッ
プデートや回避策の適用を検討してください。


II. 対象
対象となる製品は次のとおりです。

 - IPCOM EX2シリーズ
 - IPCOM EXシリーズ
 - IPCOM VE2シリーズ
 - IPCOM VA2/VE1シリーズ


III. 対策
富士通株式会社から、修正済みファームウェアが公開されています。
対象の製品を早期に最新ファームウェアにアップデートしてください。

 - IPCOM EX2シリーズ（V01L0x系）V01L05 NF0501
 - IPCOM EXシリーズ（E20系）E20L33 NF1101

調査中製品の修正ファームウェア公開状況については、適宜富士通株式会社
の公開情報やJVNを確認してください。


IV. 回避策
本脆弱性は攻撃者からIPCOMの管理インタフェースにアクセス可能な場合の
み発生します。次のいずれかの回避策を適用し、許可された運用管理端末以外
からの不正なアクセスを防ぐことで本脆弱性の悪用を回避できます。

 - 運用管理端末を配置する専用のネットワークを用意し、運用管理インタフェースへのアクセスをこのネットワークからのみに制限する
 - 個々の運用管理端末に対してアクセス許可を設定する


V. 参考情報
   富士通株式会社
   IPCOM シリーズのコマンド操作端末／Webブラウザ端末とIPCOM間通信における脆弱性について
   https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

   Japan Vulnerability Notes JVN#96561229
   FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
   https://jvn.jp/jp/JVN96561229/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp

-----BEGIN PGP SIGNATURE-----
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=rzIT
-----END PGP SIGNATURE-----