【活用ガイド】

JVNDB-2008-001053

GE Fanuc Proficy Information Portal が認証情報を平文で送信する問題

概要

GE Fanuc Proficy Information Portal では、認証情報が平文で送信されます。攻撃者は、この通信を傍受する事で認証情報を入手し、Portal へ侵入する可能性があります。

GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal の認証情報は、平文で送信されているため、攻撃者によってこの通信が傍受され、認証情報を入手される可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


GE Fanuc
  • GE Fanuc Proficy Real-Time Information Portal 2.6 およびそれ以前

想定される影響

通信を傍受できる攻撃者によって、認証情報が取得される可能性があります。
対策

SSL を利用する
Proficy Information Portal version 2.5 以上は、サーバとクライアント間で SSL(Secure Socket Layer)による通信をサポートしています。SSL は、認証・暗号化・完全性・否認防止のためのサービスを、公開鍵と秘密鍵や証明書を用いて提供しています。詳細は、GE Fanuc knowledge base (KB12459) をご参照ください。

Windows 統合認証を有効にする
ベンダによれば、Portal で Domain 認証を利用することにより、ユーザの認証情報を平文で送らないようにすることが可能との事です。詳細は、GE Fanuc knowledge base (KB12459) 、および Microsoft の関連情報をご参照ください。

ワークアラウンドを実施する
インターネットの様な信頼出来ないネットワークから Portal へのアクセスを許可しないでください。
ベンダ情報

GE Fanuc
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-0174
参考情報

  1. JVN : JVNVU#180876
  2. National Vulnerability Database (NVD) : CVE-2008-0174
  3. US-CERT Vulnerability Note : VU#180876
  4. Secunia Advisory : 1019273
更新履歴

  • [2008年02月07日]
      掲載