CVE-2017-3217
| Summary |
CalAmp LMU 3030 series OBD-II CDMA and GSM devices has an SMS (text message) interface that can be deployed where no password is configured for this interface by the integrator / reseller. This interface must be password protected, otherwise, the attacker only needs to know the phone number of the device (via an IMSI Catcher, for example) to send administrative commands to the device. These commands can be used to provide ongoing, real-time access to the device and can configure parameters such as IP addresses, firewall rules, and passwords.
|
| Publication Date |
July 25, 2018, 12:29 a.m. |
| Registration Date |
Jan. 26, 2021, 1:23 p.m. |
| Last Update |
Nov. 21, 2024, 12:25 p.m. |
|
CVSS3.0 : HIGH
|
| スコア |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : HIGH
|
| Score |
9.3
|
| Vector |
AV:N/AC:M/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:calamp:lmu_3030_obd-ii_firmware:-:*:*:*:*:*:*:* |
|
|
|
|
| execution environment |
| 1 |
cpe:2.3:h:calamp:lmu_3030_obd-ii:-:*:*:*:*:*:*:* |
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:calamp:lmu_3030_cdma_firmware:-:*:*:*:*:*:*:* |
|
|
|
|
| execution environment |
| 1 |
cpe:2.3:h:calamp:lmu_3030_cdma:-:*:*:*:*:*:*:* |
| Configuration3 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:calamp:lmu_3030_gsm_firmware:-:*:*:*:*:*:*:* |
|
|
|
|
| execution environment |
| 1 |
cpe:2.3:h:calamp:lmu_3030_gsm:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性
| Title |
CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性
|
| Summary |
CalAmp LMU-3030 デバイスを含む構成で販売されているシステムに、SMS インターフェースにパスワードを設定していない例が複数発見されました。発見された事例についてはすでに、パスワードの設定や SMS インターフェースの無効化といった対応が行われています。 CalAmp LMU-3030 デバイスを使用する場合には、SMS インターフェースにパスワードを設定するか、SMS インターフェースを無効にしておく必要があります。 重要な機能に対する認証の欠如 (CWE-306) - CVE-2017-3217 CalAmp LMU 3030 シリーズは、車両管理のためのテレマティクス情報を提供する OBD-II デバイスの一つです。このデバイスには CDMA バージョン、GSM バージョンどちらにも SMS (テキストメッセージ) インターフェースが設けられており、管理用のコマンドを送信することによって IP アドレス、ファイアーウォールのルール、パスワードなどを設定可能です。 SMS インターフェースにパスワードを設定していない場合、IMSI Catcher などによりデバイスの電話番号を取得した遠隔の第三者から攻撃される可能性があります。
|
| Possible impacts |
車両の GPS 座標、車の向き、速度、さらにメンテナンス情報などにアクセスされる可能性があります。また、古いバージョンのファームウェアが遠隔の第三者によって悪意のあるコードを含むファームウェアに書き換えられ、CAN バスに対する攻撃が行われる可能性があります。 |
| Solution |
[SMS パスワードを設定する] SMS インターフェースにパスワードを設定して保護する、もしくは SMS インターフェースを無効化してください。 また、ファームウェアのバージョンが古い場合には、最新版にアップデートしてください。 |
| Publication Date |
June 8, 2017, midnight |
| Registration Date |
June 12, 2017, 2:11 p.m. |
| Last Update |
July 24, 2019, 4:22 p.m. |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年06月12日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
| 1 |
[2019年07月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3217) を追加 |
July 24, 2019, 4:22 p.m. |