## Jinan USR IOTデバイスのハードコードされた認証情報が管理者アクセスを可能にする可能性 セキュリティ研究者らは、**Jinan USR IOT Technology Limited (PUSR)** 製 USR-W610 RS232/485 to Wi-Fi/Ethernet Converter に影響を与える重大な脆弱性を発見しました。この問題は **CVE-2026-7786** として追跡されており、デバイスファームウェア内にハードコードされた管理者認証情報が使用されていることに起因します。 ### 脆弱性の詳細 この脆弱性は、ファームウェアイメージに直接埋め込まれたプレーンテキストの管理者認証情報が存在することにあります。ファームウェアにアクセスできる攻撃者は、分析を通じてこれらの認証情報を抽出でき、その後、デバイスサービスへの認証に使用して、完全な管理者制御権を取得できます。 影響を受ける製品は以下の通りです。 * **Jinan USR IOT Technology Limited (PUSR)** USR-W610 RS232/485 to Wi-Fi/Ethernet Converter バージョン 7.03T.07 この脆弱性は **CWE-798** に分類されており、具体的には「ハードコードされた認証情報の使用」という弱点に対処しています。 ### 影響 この脆弱性が悪用された場合、攻撃者は影響を受けるデバイスへの管理者レベルのアクセス権を取得できます。これにより、以下のような事態が発生する可能性があります。 * デバイスの侵害 * データの窃盗 * サービスの停止 * ネットワーク内での潜在的なラテラルムーブメント これらのデバイスは重要インフラ分野でしばしば展開されていることを考慮すると、その潜在的な影響は甚大です。 ### 影響を受ける分野と地域 * **重要インフラ分野:** 重要製造業 * **展開されている国/地域:** 世界中 * **企業の本社所在地:** 中国 ### 対策 現在、ベンダーからのパッチは提供されていません。そのため、**CISA** は以下の緩和策を推奨しています。 * **ネットワーク露出の最小化:** 制御システムデバイスおよびシステムがインターネットから直接アクセスできないようにしてください。 * **ネットワークセグメンテーション:** ファイアウォールの背後に制御システムネットワークおよびリモートデバイスを配置し、ビジネスネットワークから隔離してください。 * **安全なリモートアクセス:** リモートアクセスが必要な場合は、Virtual Private Network (VPN) などの安全な方法を使用してください。VPNは最新バージョンに常に更新してください。 * **影響分析とリスク評価:** どのような防御策を講じる場合でも、徹底的な影響分析とリスク評価を実施してください。 ### 謝辞 **Arun Mane** 氏と **Omkar Mali** 氏がこの脆弱性を **CISA** に報告しました。 ### 参考文献 * [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-02.json) * [CVE-2026-7786 詳細](https://www.cve.org/CVERecord?id=CVE-2026-7786) * [CWE-798](https://cwe.mitre.org/data/definitions/798.html)