【活用ガイド】

JVNDB-2008-001055

GE Fanuc Proficy Information Portal が任意のファイルをアップロードおよび実行を許可する問題

概要

GE Fanuc Proficy Information Portal は、認証済みユーザに任意のファイルのアップロードを許可します。攻撃者は、実行可能なサーバーサイドスクリプト(例: Windows Internet Information Server の ASP shell 等)をアップロードしたり、ウェブサーバの実行権限で任意のコマンドを実行する可能性があります。

GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal には “Add WebSource” 機能が提供されており、ログイン可能な利用者は、サーバに様々なファイルをアップロードし、実行させる事が可能です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


GE Fanuc
  • GE Fanuc Proficy Real-Time Information Portal 2.6 およびそれ以前

想定される影響

実行可能なファイル(例:ASP シェル)をウェブブラウザからアップロードする事によって、ログインした攻撃者は任意のコードを実行する可能性があります。この行為によって、攻撃者は脆弱性のある生産情報システムにアクセスする可能性があります。
対策

パッチを適用する
GE Funac は Software Improvement Module(SIM) for PROFICY 2.6 を 2008/2/15 に提供予定です。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アップデートする
Proficy Information Portal v2.6 より前のバージョンをお使いの場合、Proficy Information Portal v2.6 およびそれ以降にアップデートして、上記のパッチを適用してください。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アクセス制限をする
信頼出来ないネットワークからの Proficy Information Portal への通信を制限してください。

URL をフィルターする
reverse HTTP proxy、 ウェブサーバの URL フィルタリング機能、あるいは同様の手法を使う事で、ファイルの名前や拡張子で Proficy Information Portal にアップロード出来るファイルを制限してください。
ベンダ情報

GE Fanuc
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-0175
参考情報

  1. JVN : JVNVU#339345
  2. National Vulnerability Database (NVD) : CVE-2008-0175
  3. US-CERT Vulnerability Note : VU#339345
  4. Secunia Advisory : SA28678
  5. SecurityFocus : 27446
  6. SecurityTracker : 1019274
更新履歴

  • [2008年02月07日]
      掲載