Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

iframeを使用するWebシステムにクリックジャッキングの脆弱性

掲載番号:NV15-019
脆弱性情報識別番号:JVN#48135658

概要

ログイン認証後、iframeを使用して別のhtml文書を読み込ませているWebシステムにおいて、
X-FRAME-OPTIONSを指定していない場合はクリックジャッキングの脆弱性が存在します。
攻撃者によって、設定を初期化されたり製品を再起動されたりする可能性があります。

対象製品

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
次のページにて、ESMPRO/ServerManager 6.06 以降にバージョンアップしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

[回避策]
Webシステムで利用しているブラウザをログアウト後に閉じ、かつ、セッション情報をクリアしてください。

ESMPRO/UPSManager

影響の有無

影響あり

対象となる製品のバージョン

  • PowerCute Business Edition v9.1.1 およびそれ以前のバージョン(※)
  • ESMPRO/UPSManager Ver2.7 (PowerCute Business Editionセット)およびそれ以前のバージョン(※)

('※) 本製品に含まれる旧 UPS (LCD パネルなし UPS ) を使用時に動作する PowerCute Business Edition Agent が影響を受けます。PowerCute Business Edition v9.1.1 と ESMPRO/UPSManager Ver2.7 の場合には、PowerCute Business Edition Agent v9.0.3 が対象となります。

対処方法

[対策]
次のバージョンの PowerChute Business Edition Agent で対応完了しています。
バージョンアップの詳細につきましては弊社営業にお問合せください。

  • PowerChute Business Edition Agent v9.1.1

[回避策]
ファイアウォール等でネットワークの外部から本製品へのアクセスを制限する。

InfoCage 不正接続防止

影響の有無

影響あり

対象となる製品のバージョン

InfoCage 不正接続防止 V3.1以降

対処方法

[対策]
  1. InfoCage 不正接続防止 V5.1
    • 自動設定で新規インストールする場合
    • ISS設定にX-FRAME-OPTIONSの指定を追加するようプログラムを修正しました。

    • 手動設定で新規インストール/バージョンアップする場合
  2. 最新のマニュアルを参照いただき、ISS設定にX-FRAME-OPTIONSの指定を追加
    してください。

  3. InfoCage 不正接続防止 V5.1より前のバージョン
    • InfoCage 不正接続防止 V5.1にバージョンアップしてください。
インストール、バージョンアップの詳細につきましては弊社営業にお問合せください。

IP38Xシリーズ

影響の有無

影響あり

IP38Xシリーズの GUI 設定画面がこの脆弱性の影響を受け、意図しない機能を
実行させられる可能性があります。

対象となる製品のバージョン

    装置シリーズ名 バージョン
    IP38X/1210 全てのリビジョン
    IP38X/FW120 Rev.11.03.08以前
    IP38X/810 Rev.11.01.21以前
    IP38X/N500 Rev.11.00.25以前
    IP38X/1200 Rev.10.01.59以前
    IP38X/SR100 全てのリビジョン
    IP38X/58i 全てのリビジョン
    IP38X/107e 全てのリビジョン
    IP38X/1500 全てのリビジョン
    IP38X/1100 全てのリビジョン
    IP38X/V01
    全てのリビジョン


対処方法

    [対策]
    この脆弱性への対策をした以下のファームウェアへのリビジョンアップをお願いします。

     また、対策済のファームウェアをご利用いただくと同時に、PC側でもクリックジャッキング
    対策のされたウェブブラウザをご使用いただく必要がございます。
    ※ ご利用のウェブブラウザの対策状況につきましては、各ウェブブラウザの製品ベンダ
         へご確認ください。

装置シリーズ名 バージョン
IP38X/1210 順次リリース予定
IP38X/FW120 Rev.11.03.13
IP38X/810 Rev.11.01.25
IP38X/N500 Rev.11.00.28
IP38X/1200 Rev.10.01.65
IP38X/SR100 順次リリース予定
IP38X/58i 順次リリース予定
IP38X/107e 順次リリース予定
IP38X/1500 順次リリース予定
IP38X/1100 順次リリース予定
IP38X/V01
順次リリース予定

[回避策]
脆弱性の対策済みファームウェアの使用が困難な場合、以下の設定で回避する
ことができます。
  • 管理者パスワードを設定し、そのパスワードをウェブブラウザに記憶させない
    ように設定する。この設定をした上で、GUI設定画面での作業が終わったら、
    必ず、一度、ウェブブラウザを閉じる。

 

なお、IP38X/SR100とIP38X/FW120以外は、工場出荷状態では管理者パスワード

が設定されておりません。

 

iStorage HSシリーズ

影響の有無

影響あり(※)

※ iStorage HS の管理 GUI を操作される可能性があります。

対象となる製品のバージョン

  • Ver 4.4.1 以前のバージョン

対処方法

[対策]
  • Ver 5.0.0 以降にアップデートする。
  • 修正物件 P4.4.1-N002 を適用する(Ver 4.4.1 をご利用の場合)。

アップデートや修正物件の詳細につきましては弊社営業にお問合せください。

iStorage M/D/S/A/E シリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • iStorageManager  全バージョン(※)

※ iStorage ダッシュボード機能を使用している場合のみ影響を受けます。

対処方法

[対策]
iStorage ダッシュボード機能のサイトを登録した Internet InformationServices(IIS) にて、 X-FRAME-OPTIONS を設定してください。
手順の詳細は以下の URL を参照ください。

【iStorage M/D/S/A/E シリーズ】クリックジャッキング脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150110159

IX1000/IX2000/IX3000シリーズ

影響の有無

影響あり

Web コンソールを有効にしている場合、Web コンソールにログイン済みのユーザが、 細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。

対象となる製品のバージョン

  • Ver.9.1.11 以前の全バージョン

対処方法

[対策]
最新版で対応しています。
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口までお問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

V9.31(WebOTX Media V9 Release 6 に格納)以降の製品は該当いたしません。

  • WebOTX Application Server Express V9.1~V9.3
  • WebOTX Application Server Standard V9.1~V9.3
  • WebOTX Application Server Enterprirse V9.1~V9.3
  • WebOTX Enterprise Service Bus V9.2
  • WebOTX Portal V9.1
  • WebOTX Developer V9.1~V9.3 (*1)

 

  • WebOTX Application Server Web Edition V8.1
  • WebOTX Application Server Standard-J Edition V8.1
  • WebOTX Application Server Express V8.2~V8.5
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V8.5
  • WebOTX Application Server Enterprise V8.2~V8.5
  • WebOTX SIP Application Server V8.1
  • WebOTX Enterprise Service Bus V8.1~8.5
  • WebOTX Portal V8.2~V8.4
  • WebOTX Developer V8.1~V8.4 (*1)

 

  • WebOTX Application Server Web Edition V7.1
  • WebOTX Application Server Standard-J Edition V7.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX SIP Application Server V7.1
  • WebOTX Enterprise Service Bus V7.1
  • WebOTX Developer V7.1 (*1)
  • WebOTX UDDI Registry V7.1

 

  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.2~V6.5
  • WebOTX Enterprise Edition V6.2~V6.5
  • WebOTX Enterprise Service Bus V6.4~6.5
  • WebOTX 開発環境 V6.1~V6.5 (*1)
  • WebOTX UDDI Registry V3.1~V3.5

 

  • ActiveGlobe WebOTX Web Edition V5.1~V5.3
  • ActiveGlobe WebOTX Standard-J Edition V5.1~V5.3
  • ActiveGlobe WebOTX Standard Edition V5.1~V5.3
  • ActiveGlobe WebOTX Enterprise Edition V5.1~V5.3
  • ActiveGlobe WebOTX UDDI Registry V2.1

 (*1) WebOTX 開発環境およびWebOTX Developerは、「テスト用サーバ」をインストールしている場合のみ影響があります。

対処方法

[対策]
下記お知らせにて詳細な情報を公開しております。
https://www.support.nec.co.jp/View.aspx?id=3010101580

V6 以降をご利用の場合は、パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010104382

V4 または V5 をご利用の場合は、弊社営業までお問い合わせください。

[回避策]
Web版統合運用管理コンソールにログインした状態で外部のサイトにアクセスしない。

参考情報

Japan Vulnerability Notes JVN#48135658:
複数のルータ製品におけるクリックジャッキングの脆弱性
https://jvn.jp/jp/JVN48135658/index.html

更新情報

2016/08/18
ESMPRO/ServerManager を登録しました。
2016/03/02
ESMPRO/UPSManager、iStorage HSシリーズ、WebOTX を登録しました。
2016/01/20
iStorage M/D/S/A/E シリーズ、IX1000/IX2000/IX3000 シリーズを登録しました。
2015/11/11
IP38X シリーズを登録しました。
2015/10/30
InfoCage 不正接続防止を登録しました。