FAQを参照する
[セキュリティ情報] APC UPS 日本モデルのTLStorm脆弱性の影響について (2022年3月公開)
2022年3月に公開されたCVE-2022-0715、CVE-2022-22805、CVE-2022-22806について、
日本で販売している製品の影響についてご案内します。
1. 対象製品 (2022年3月時点)
| 対象製品シリーズ | 対象品番 | 対象FWバージョン | CVEs |
| Smart-UPS SMT | SMT500J, SMT750J, SMT1000J, | 全て | CVE-2022-0715 |
| Smart-UPS SMX | SMX3000RMJ2U, SMX3000RMHV2UJ | 全て | CVE-2022-0715 |
| Smart-UPS SRT | SRT1000XLJ, SRT1500XLJ, SRT2400XLJ, SRT5KXLJ, SRT8KXLJ, SRT10KXLJ | 全て | CVE-2022-0715 |
| Smart-UPS SURTD | SURTD6000RMXLJP3U | 全て | CVE-2022-0715 |
| Smart-UPS SCL | SCL400RMJ1U | 全て | CVE-2022-0715 |
| Smart-UPS CSH2 | CSH2-JP | 全て | CVE-2022-0715 |
| SecureUPS | XU1K0JJXXRX-JP, XU750JJXXRX-JP | 全て | CVE-2022-0715 |
2. 影響の受ける脆弱性
報告されている3つのCVEのうち、CVE-2022-22805、CVE-2022-22806については影響ありません。
A) CVE-2022-22805およびCVE-2022-22806
・ CVE-2022-22806 – TLS authentication bypass:
A state confusion in the TLS handshake leads to authentication bypass,
leading to remote code execution (RCE) using a network firmware upgrade.
・ CVE-2022-22805 – TLS buffer overflow: A memory corruption bug in packet reassembly (RCE).
日本向けモデルのUPSは、CVE-2022-22805およびCVE-2022-22806の影響は受けません。
本脆弱性に影響のある機能のSmartConnectポートを利用したAPCクラウドは
日本モデルでは、製品に組み込まれておらず、提供されていないことから、本脆弱性の対象外となり、
日本向けモデルにおいてインターネット経由での影響はありません。
B) CVE-2022-0715
・ CVE-2022-0715 – Unsigned firmware upgrade that can be updated over the network (RCE).
悪意のあるファームウェアによりUPSの内容が書き換えられてしまう恐れがあります。
日本向けモデルは、CVE-2022-22805およびCVE-2022-22806の影響を受けないため、
インターネット経由での書き換えは出来ませんが、他に2つの方法で書き換えが可能です。
① ネットワークマネージメントカード経由でのアクセス:
これはローカルネットワークとなり、プライベートネットワークへの侵入がない限りアクセス、
書き換えは出来ないことから本脆弱性のみのリスクは非常に低いです。
デフォルトパスワードの変更や複雑化、ローカルプライベートネットワークのセキュリティについて
確認と見直しをお願いいたします。
② USB/シリアル接続によるアクセス
この方法を利用した書き換えは、UPS背面のUSBまたはシリアルポートに直接アクセスする必要があるため、
本脆弱性のみのリスクは非常に低いです。UPSの運用においてラックに鍵をかける、
容易に製品を操作、アクセスできない部屋で管理するなど、
管理者以外が操作できないよう対策を行ってください。
[公開日: 2022年3月11日]
公開先:APC 日本
