【活用ガイド】

[English]

JVNDB-2022-002691

オムロン製複数製品における複数の脆弱性

概要

オムロン株式会社が提供するマシンオートメーションコントローラ NJ/NX シリーズと、オートメーションソフトウェア Sysmac Studio およびプログラマブルターミナル NA シリーズの通信機能には、次の複数の脆弱性が存在します。

 * ハードコードされた認証情報の使用(CWE-798)- CVE-2022-34151
 * Capture-Replay による認証回避(CWE-294)- CVE-2022-33208
 * 利用可能なデバッグコードの存在(CWE-489)- CVE-2022-33971

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.4 (緊急) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2022-34151 の評価になります。


CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2022-33208 の評価になります。


CVSS v3 による深刻度
基本値:8.3 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2022-33971 の評価になります。
影響を受けるシステム


オムロン株式会社
  • オートメーションソフトウェア Sysmac Studio
  • プログラマブルターミナル NA シリーズ
  • マシンオートメーションコントローラ NJ シリーズ
  • マシンオートメーションコントローラ NX シリーズ

影響を受ける製品の型番やバージョン等の詳細については、開発者が提供するアドバイザリをご確認ください。
また、当該製品において型番やバージョンを確認する方法の詳細については、当該製品のマニュアルをご確認ください。
想定される影響

想定される影響は各脆弱性により異なりますが、次のような可能性があります。

 * あらかじめ製品を解析して認証情報を取得した第三者によって、当該コントローラ製品に不正にアクセスされる - CVE-2022-34151
 * 当該コントローラ製品とオートメーションソフトウェア Sysmac Studio やプログラマブルターミナルとの間の通信を解析できる第三者によって、当該コントローラ製品に不正にアクセスされる - CVE-2022-33208
 * 当該コントローラ製品とオムロン社内で使用されている専用ソフトウェアとの間の通信を解析できる第三者によって、サービス運用妨害(DoS)攻撃や悪意あるプログラムが実行される - CVE-2022-33971
 
対策

[アップデートする]
開発者は段階的にアップデートをリリースしています。
アップデートの提供有無についての詳細は、開発者が提供する情報、開発者の営業担当または販売店にお問合せください。

 * 国内お問合せ先
 * 海外お問合せ先
 * Sysmac Studio に関しては、開発者が提供する情報をもとに、ソフトウェアを最新版に更新してください。
 
さらに開発者は、本脆弱性の悪用リスクを抑えるため、軽減策を講じることを推奨しています。
詳しくは、開発者が提供するアドバイザリを参照してください。
ベンダ情報

オムロン株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. Capture-replay による認証回避(CWE-294) [その他]
  2. アクティブ状態のデバッグコード(CWE-489) [その他]
  3. ハードコードされた認証情報の使用(CWE-798) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-34151
  2. CVE-2022-33208
  3. CVE-2022-33971
参考情報

  1. JVN : JVNVU#97050784
  2. National Vulnerability Database (NVD) : CVE-2022-34151
  3. National Vulnerability Database (NVD) : CVE-2022-33208
  4. National Vulnerability Database (NVD) : CVE-2022-33971
  5. US-CERT National Cyber Awareness System Alerts : AA22-103A
更新履歴

  • [2022年11月09日]
      掲載