CVE-2024-23789
シャープ製クラウド連携エネルギーコントローラ(機器連携コントローラ)にアクセス可能な第三者によって、当該製品上で任意のコマンドを実行される
報告者
馬場 将次
脆弱性の概要
OSコマンドインジェクション
シャープ株式会社が提供する「クラウド連携エネルギーコントローラ」に
アクセス可能な第三者によって、当該製品上で任意のOSコマンドを実行される脆弱性
影響を受けるシステムおよびバージョン
クラウド連携エネルギーコントローラ(機器連携コントローラ)
JH-RVB1 Ver.B0.1.9.1 およびそれ以前
JH-RV11 Ver.B0.1.9.1 およびそれ以前
脆弱性が悪用された場合の影響
攻撃者はファイル操作、ネットワーク、プロセス管理、ユーザ管理、設定変更、バックドア作成など、OSのあらゆるコマンドを実行できます。
それにより以下の様な事が可能となります。
- ・電力情報を窃取
- ・機器の制御機能を窃取
- ・サーバ乗っ取り
- ・サービス停止
- ・マルウェア感染
- ・別のシステムへの踏み台
