NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2017-3217

概要	CalAmp LMU 3030 series OBD-II CDMA and GSM devices has an SMS (text message) interface that can be deployed where no password is configured for this interface by the integrator / reseller. This interface must be password protected, otherwise, the attacker only needs to know the phone number of the device (via an IMSI Catcher, for example) to send administrative commands to the device. These commands can be used to provide ongoing, real-time access to the device and can configure parameters such as IP addresses, firewall rules, and passwords.
公表日	2018年7月25日0:29
登録日	2021年1月26日13:23
最終更新日	2024年11月21日12:25

CVSS3.0 : HIGH
スコア	8.1
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:calamp:lmu_3030_obd-ii_firmware:-:::::::*
実行環境
1	cpe:2.3:h:calamp:lmu_3030_obd-ii:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:calamp:lmu_3030_cdma_firmware:-:::::::*
実行環境
1	cpe:2.3:h:calamp:lmu_3030_cdma:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:calamp:lmu_3030_gsm_firmware:-:::::::*
実行環境
1	cpe:2.3:h:calamp:lmu_3030_gsm:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.kb.cert.org/vuls/id/251927		Third Party Advisory US Government Resource
2	https://www.kb.cert.org/vuls/id/251927		Third Party Advisory US Government Resource
3	https://www.securityfocus.com/bid/98964		Third Party Advisory VDB Entry
4	https://www.securityfocus.com/bid/98964		Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html

JVN脆弱性情報

CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性

タイトル	CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性
概要	CalAmp LMU-3030 デバイスを含む構成で販売されているシステムに、SMS インターフェースにパスワードを設定していない例が複数発見されました。発見された事例についてはすでに、パスワードの設定や SMS インターフェースの無効化といった対応が行われています。 CalAmp LMU-3030 デバイスを使用する場合には、SMS インターフェースにパスワードを設定するか、SMS インターフェースを無効にしておく必要があります。重要な機能に対する認証の欠如 (CWE-306) - CVE-2017-3217 CalAmp LMU 3030 シリーズは、車両管理のためのテレマティクス情報を提供する OBD-II デバイスの一つです。このデバイスには CDMA バージョン、GSM バージョンどちらにも SMS (テキストメッセージ) インターフェースが設けられており、管理用のコマンドを送信することによって IP アドレス、ファイアーウォールのルール、パスワードなどを設定可能です。 SMS インターフェースにパスワードを設定していない場合、IMSI Catcher などによりデバイスの電話番号を取得した遠隔の第三者から攻撃される可能性があります。
想定される影響	車両の GPS 座標、車の向き、速度、さらにメンテナンス情報などにアクセスされる可能性があります。また、古いバージョンのファームウェアが遠隔の第三者によって悪意のあるコードを含むファームウェアに書き換えられ、CAN バスに対する攻撃が行われる可能性があります。
対策	[SMS パスワードを設定する] SMS インターフェースにパスワードを設定して保護する、もしくは SMS インターフェースを無効化してください。また、ファームウェアのバージョンが古い場合には、最新版にアップデートしてください。
公表日	2017年6月8日0:00
登録日	2017年6月12日14:11
最終更新日	2019年7月24日16:22

影響を受けるシステム

CalAmp

LMU-3030 シリーズ

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-3217	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3217
National Vulnerability Database (NVD)
2	CVE-2017-3217	https://nvd.nist.gov/vuln/detail/CVE-2017-3217

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html

その他

No	名前	URL
JVN
1	JVNVU#91545522	http://jvn.jp/vu/JVNVU91545522/index.html
US-CERT Vulnerability Note
2	VU#251927	https://www.kb.cert.org/vuls/id/251927

変更履歴

No	変更内容	変更日
0	[2017年06月12日] 掲載	2018年2月17日10:37
1	[2019年07月24日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-3217) を追加	2019年7月24日16:22