JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center)は12月15日、「JVNVU#96195138: シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性」において、シャープ製の複数のデジタル複合機に脆弱性が存在すると発表。共通脆弱性評価システムであるCVSS (Common Vulnerability Scoring System)のv3スコア値では9.1と分析されており、深刻度は緊急(Critical)と評価されています。この脆弱性を悪用されると、攻撃者によって対象となるデジタル複合機おいて任意のコマンドが実行される危険性があり注意が必要です。

これに伴い、シャープからは攻撃が行われる条件として本脆弱性を利用した攻撃が成立するための条件を以下のように案内しております。
「①攻撃者が対象の複合機にネットワーク経由で接続可能であること」、「②攻撃者が対象の複合機の管理者パスワードを知っていること」が条件となり、上記以外のケース(管理者パスワードが適切に保護されている状態等)においては本脆弱性による影響はないとのことです。

事務機器ねっとでは、納品設置時に管理者パスワードを適切に保護しているため、当社よりご導入いただいたお客様への影響はございませんのでご安心ください。

※しかしながら、他の販売店より導入された対象機種はくれぐれもご注意下さい！

【脆弱性が存在するとされる対象製品リスト】
BP-70C65・BP-70C55・BP-70C45・BP-70C26・BP-60C36・BP-60C31・BP-60C26・BP-50C65・BP-50C55・BP-50C45・BP-40C36・BP-40C26・MX-8081・MX-6171・MX-5171・MX-4171・MX-3661・MX-3161・MX-2661・MX-6151・MX-5151・MX-4151・MX-3631・MX-2631・BP-30C25・MX-6170FN・MX-5170FN・MX-4170FN・MX-6170FV・MX-5170FV・MX-4170FV・MX-6150FN・MX-5150FN・MX-4150FN・MX-3650FN・MX-3150FN・MX-2650FN・MX-6150FV・MX-5150FV・MX-4150FV・MX-3650FV・MX-3150FV・MX-2650FV・MX-3630FN・MX-2630FN・MX-C306W・MX-C305W・BP-70M90・BP-70M75・BP-70M65・BP-70M55・BP-70M45・MX-M1206・MX-M1056・MX-M7570・MX-M6570・MX-M6071・MX-M5071・MX-M4071・MX-M3531・BP-30M35・BP-30M31・BP-30M28・BP-30M31L・MX-M6070・MX-M5070・MX-M4070・MX-B455W

jp.sharp

弊社複合機におけるセキュリティ脆弱性について｜オフィスソリューション：シャープ

弊社複合機におけるセキュリティ脆弱性について