【活用ガイド】

JVNDB-2011-003477

Schneider Electric Quantum Ethernet Module におけるアクセス権を取得される脆弱性

概要

Quantum 140NOE771 および 140CPU65 モジュール、Premium TSXETY および TSXP57 モジュール、M340 BMXNOE01 および BMXP3420 モジュール、STB DIO STBNIC2212 および STBNIP2 モジュール内で利用される Schneider Electric Quantum Ethernet Module は、(1) AUTCSE、(2) AUT_CSE、(3) fdrusers、(4) ftpuser、(5) loader、(6) nic2212、(7) nimrohs2212、(8) nip2212、(9) noe77111_v500、(10) ntpupdate、(11) pcfactory、(12) sysdiag、(13) target、(14) test、 (15) USER、および (16) webserver アカウント用の ハードコードされたパスワードを使用するため、アクセス権を取得される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


Schneider Electric
  • Modicon M340 ethernet module BMXNOE0100 Firmware V2.3 およびそれ以前
  • Modicon M340 ethernet module BMXNOE0110 Firmware V4.65 およびそれ以前
  • Modicon M340 ethernet module BMXP342020 Firmware V2.2 およびそれ以前
  • Modicon M340 ethernet module BMXP342030 Firmware V2.2 およびそれ以前
  • Premium ethernet module TSXETY4103 Firmware V5.0 およびそれ以前
  • Premium ethernet module TSXETY5103 Firmware V5.0 およびそれ以前
  • Premium ethernet module TSXP571634M Firmware V4.9 およびそれ以前
  • Premium ethernet module TSXP572634M Firmware V4.9 およびそれ以前
  • Premium ethernet module TSXP573634M Firmware V4.9 およびそれ以前
  • Premium ethernet module TSXP574634M Firmware V3.5 およびそれ以前
  • Premium ethernet module TSXP575634M Firmware V3.5 およびそれ以前
  • Premium ethernet module TSXP576634M Firmware V3.5 およびそれ以前
  • Quantum ethernet module 140CPU65150 Firmware V3.5 およびそれ以前
  • Quantum ethernet module 140CPU65160 Firmware V3.5 およびそれ以前
  • Quantum ethernet module 140CPU65260 Firmware V3.5 およびそれ以前
  • Quantum ethernet module 140NOE77100 Firmware V3.4 およびそれ以前
  • Quantum ethernet module 140NOE77101 Firmware V4.9 およびそれ以前
  • Quantum ethernet module 140NOE77110 Firmware V3.3 およびそれ以前
  • Quantum ethernet module 140NOE77111 Firmware V5.0 およびそれ以前
  • STB DIO Series module STBNIC2212 Firmware V2.10 およびそれ以前
  • STB DIO Series module STBNIP2212 Firmware V2.73 およびそれ以前
  • STB DIO Series module STBNIP2311 Firmware V3.01 およびそれ以前

想定される影響

第三者により、(a) TELNET、(b) Windriver Debug、または (c) FTP ポートを介して、アクセス権を取得される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

Schneider Electric
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-4859
参考情報

  1. National Vulnerability Database (NVD) : CVE-2011-4859
  2. ICS-CERT ADVISORY : ICSA-12-018-01
  3. ICS-CERT ALERT : ICS-ALERT-11-346-01
  4. ICS-CERT ALERT : ICS-ALERT-12-020-03
更新履歴

  • [2011年12月21日]
      掲載
    [2012年02月27日]
      ベンダ情報:Schneider Electric (Top Page、サポート) を追加

公表日2011/12/12
登録日2011/12/21
最終更新日2011/12/21