JVNDB-2022-002301
|
B&R Industrial Automation 製 Automation Studio 4 における不適切な入力確認の脆弱性
|
|
B&R Industrial Automation 社が提供する Automation Studio 4 には、プロジェクトアップロード機能を有効にしている場合、次の脆弱性が存在します。
* 不適切な入力確認 - CVE-2021-22289
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
B&R Industrial Automation
- Automation Studio すべてのバージョン
|
|
|
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
* 遠隔の第三者によって、コード実行および情報窃取をされたり、サービス運用妨害(DoS)状態にされたりする
|
|
[ワークアラウンドを実施する]
プロジェクトアップロード機能はデフォルトで無効になっています。必要のない場合は有効にせず、利用しないでください。
開発者は、脆弱なプロジェクトアップロード機能を利用するユーザに対し、以下のワークアラウンドの適用を推奨しています。
* SSL経由のAutomation Network Service Link(ANSL)のみを利用し、PLC上での認証を有効にする
* 「Backing up project source files on the target system」機能を利用する場合は、強固なパスワードで保護する
* ファイアウォールによって、PCLを含むネットワークを不正アクセスから保護する
* 昇格した権限でB&R Automation Studioを実行しない
* ハッシュやデジタル署名を使用するなどして、潜在的に安全でないチャネルを介してやり取りされるB&R Automation Studioプロジェクトファイルの整合性を確認する
* Windows User Access Control(UAC)が有効となっていることを確認する
開発者は、「B&R Cyber Security guidelines」の適用も推奨しています。
|
|
B&R Industrial Automation
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
|
- CVE-2021-22289
|
|
- JVN : JVNVU#93152104
- National Vulnerability Database (NVD) : CVE-2021-22289
- ICS-CERT ADVISORY : ICSA-22-228-05
|
|
- [2022年08月18日]
掲載
- [2024年06月14日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
|
