【活用ガイド】

JVNDB-2009-001086

GE Fanuc Proficy HMI/SCADA iFIX の認証機能における脆弱性

概要

GE Fanuc iFIX は Human Machine Interface コンポーネントを持つ、Microsoft Windows CE、NT、2000、Server 2003、XP および Vista 上で動作する SCADA クライアント/サーバソフトウエアです。iFIX の認証に脆弱性が存在します。ユーザ名およびパスワードはクライアント側のローカルファイルにて保存されており、パスワードは強度の低いアルゴリズムで暗号化されています。GE Fanuc によると:

Attackers can gain copies of this file in two ways. The first way requires that an attacker have an interactive session with the computer containing the file, such as a direct login, or through a remote terminal session, VNC, or some other remote session providing access to a command shell. Using the shell, the attacker can simply copy the file and extract the passwords at some later point. Another way an attacker can gain access to this file is by intercepting the file over the network. This can occur if the file is shared between two computers using Microsoft WindowsR network sharing. In this case, an attacker may be able to recreate the file by using a network sniffer to monitor network traffic between them.

iFIX の認証はクライアント内で行われるため、攻撃者によって認証モジュールを改ざんおよび置換される可能性があります。GE Fanuc によると:

Authentication and authorization of users are implemented through certain program modules. These modules can be modified at the binary level to bypass user authentication. To exploit this type of attack, an attacker needs to be able to launch unauthorized applications from an interactive shell.

また、iFIX は Technical Cyber Security Alert TA09-020A にて公表されている “Microsoft Windows 自動実行機能の無効化における注意点” の影響を受ける可能性もあります。自動実行機能を利用して実行された任意のコードは iFIX Enviroment Protection を迂回し、結果として認証モジュールを改ざんおよび置換される可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


GE Fanuc
  • HMI/SCADA - iFIX 5.0 およびそれ以前

想定される影響

攻撃者によって認証情報が含まれているファイルがアクセスされたり、またネットワークトラフィックを傍受される可能性があります。結果として、攻撃者による iFIX システムへの不正アクセスが可能となります。
対策

2009年2月13日現在対策方法はありません。

[ワークアラウンドを実施する]
なお、GE Fanuc より以下の回避策を適用することで影響を軽減できる可能性が示されています。

 ・iFix HMI/SCADA ネットワークを社内ネットワークから分離する
 ・iFIX ローカルディレクトリを共有しない
 ・iFix ノードを読み取り専用に設定する
 ・"Environment Protection" を有効にする
 ・Windows の自動実行機能を無効化する
ベンダ情報

GE Fanuc
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-0216
参考情報

  1. JVN : JVNVU#310355
  2. National Vulnerability Database (NVD) : CVE-2009-0216
  3. US-CERT Vulnerability Note : VU#310355
  4. US-CERT Technical Cyber Security Alert : TA09-020A
  5. SecurityFocus : 33739
  6. ISS X-Force Database : 48691
更新履歴

  • [2009年03月19日]
      掲載