【活用ガイド】

JVNDB-2016-004705

STARDOM コントローラに任意のコマンドを実行される脆弱性

概要

横河電機株式会社が提供する STARDOM コントローラには、任意のコマンドを実行される脆弱性が存在します。

横河電機株式会社が提供する STARDOM は、中小規模工場向け PLC 計装システムです。STARDOM コントローラには、ロジックデザイナからの接続時に、認証が行われない問題 (CWE-306) があります。そのため、STARDOM コントローラにアクセス可能な第三者によって任意のコマンドを実行される可能性があります。

CWE-306: Missing Authentication for Critical Function
https://cwe.mitre.org/data/definitions/306.html
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.3 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


横河電機株式会社
  • STARDOM FCN/FCJ R1.01 から R4.01 まで

詳しくは、開発者が提供する情報をご確認ください。
http://www.yokogawa.co.jp/dcs/security/ysar/dcs-ysar-index-ja.htm
想定される影響

STARDOM コントローラにアクセス可能な第三者によって、IEC アプリケーションの停止、値の書き換え、アプリケーションの変更などを実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を STARDOM FCN/FCJ R4.02 で修正しています。

アップデート方法や本件に関する質問等は、開発者が提供するウェブサイトのサポートページからお問い合わせください。

開発者が提供するウェブサイト
http://stardom.jp/
ベンダ情報

横河電機株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. 不適切な認証(CWE-287) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-4860
参考情報

  1. JVN : JVNVU#98542287
  2. National Vulnerability Database (NVD) : CVE-2016-4860
  3. ICS-CERT ADVISORY : ICSA-16-259-01
更新履歴

  • [2016年09月15日]
      掲載
    [2016年10月07日]
      CWE による脆弱性タイプ一覧:CWE-ID を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-4860) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-16-259-01) を追加

公表日2016/09/14
登録日2016/09/15
最終更新日2016/10/07