【活用ガイド】

JVNDB-2021-001011

M&M Software 製 fdtCONTAINER に信頼できないデータのデシリアライズの脆弱性

概要

M&M Software 社 (WAGO Kontakttechnik 社子会社) が提供し、RTIS および PACTware を含む他の製品にも使われている fdtCONTAINER コンポーネントには、信頼できないデータのデシリアライズ (CWE-502) の脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


M&M Software GmbH
  • FDT 1.2.x をベースにした dtmINSPECTOR バージョン 3
  • fdtCONTAINER application バージョン 4.5.0 から 4.5.20304.x より前のバージョン
  • fdtCONTAINER application バージョン 4.6.0 から 4.6.20304.x より前のバージョン
  • fdtCONTAINER application バージョン 4.5 より前のバージョン
  • fdtCONTAINER component バージョン 3.5.0 から 3.5.20304.x より前のバージョン
  • fdtCONTAINER component バージョン 3.6.0 から 3.6.20304.x より前のバージョン
  • fdtCONTAINER component バージョン 3.5 より前のバージョン

また、下記の製品が影響を受けるコンポーネントを利用しているとのことです。

 * Emerson Rosemount Transmitter Interface Software (RTIS) SKUs: 04088-9000-0001、4088-9000-0002、7000003-312
 * PEPPERL+FUCHS PACTware バージョン 5.0 から 5.0.5.31
 * Weidmüller WI Manager up to and including バージョン 2.5.1 およびそれ以前
 * 三菱電機株式会社 MELSOFT FieldDeviceConfigurator すべてのバージョン
想定される影響

第三者によって、細工されたプロジェクトファイルをユーザが読み込むことで、不正なコードを秘密裏に実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、利用方法に応じて下記のオプションから修正済みバージョンにアップデートしてください。
詳細は開発者へお問い合わせください。

オプション1:確認されている攻撃手法に対処し、既存のプロジェクトファイルと互換性があるが、非推奨のデシリアライゼーション技術を利用している
fdtCONTAINER component、fdtCONTAINER application

 * fdtCONTAINER component バージョン 3.5.20304.x から 3.7 より前のバージョン
 * fdtCONTAINER application バージョン 4.6.20304.x から 4.7 より前のバージョン

オプション2:既存のプロジェクトファイルと互換性がないが、推奨される安全なデシリアライゼーション技術を利用している

fdtCONTAINER component、fdtCONTAINER application

 * fdtCONTAINER component バージョン 3.7 およびそれ以降のバージョン
 * fdtCONTAINER application バージョン 4.7 およびそれ以降のバージョン

dtmINSPECTOR

 * 修正済みバージョンを2021年第一四半期に提供予定とのことです。

RTIS

 * 開発者が提供する情報 (PDF) を参照してください。

PEPPERL+FUCHS PACTware

 * 参考情報を参照してください。

Weidmüller WI Manager

 * 参考情報を参照してください。

[ワークアラウンドを実施する]
開発者が提供する情報をもとに、回避策を適用することで本脆弱性の影響を軽減できます。

三菱電機株式会社 MELSOFT FieldDeviceConfigurator

 * 開発者が提供する情報 (PDF) を参照してください。
ベンダ情報

エマソン 三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 信頼できないデータのデシリアライゼーション(CWE-502) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-12525
参考情報

  1. JVN : JVNVU#94008268
  2. National Vulnerability Database (NVD) : CVE-2020-12525
  3. ICS-CERT ADVISORY : ICSA-21-021-05
  4. 関連文書 : VDE-2020-048 (WAGO/M&M Software: Deserialization of untrusted data in fdtContainer)
  5. 関連文書 : VDE-2021-001 (PEPPERL+FUCHS: Vulnerability allowing code-excution in PACTware <= 5.0.5.31)
  6. 関連文書 : VDE-2021-002 (WEIDMUELLER: WI Manager affected by fdtContainer vulnerability)
更新履歴

  • [2021年01月25日]
      掲載
  • [2021年02月17日]
      タイトル:内容を更新
      概要:内容を更新
      CVSS による深刻度:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新
      ベンダ情報:Emerson Cyber Security Notification (Emerson Cybersecurity Notification Alert EMR.RMT20004-3 (PDF)) を追加
      ベンダ情報:三菱電機株式会社 (MELSOFT FieldDeviceConfigurator 製品における任意のコードが実行される脆弱性) を追加
      参考情報:関連文書 (VDE-2021-002 (WEIDMUELLER: WI Manager affected by fdtContainer vulnerability)) を追加