【活用ガイド】

[English]

JVNDB-2023-001411

横河電機製 CENTUM シリーズにおける重要な情報の平文保存の脆弱性

概要

横河電機株式会社が提供する CENTUM シリーズには、重要な情報の平文保存の脆弱性(CWE-312、CVE-2023-26593)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [その他]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


横河電機株式会社
  • B/M9000 CS R5.04.01からR5.05.01まで(*2)
  • B/M9000 VP R6.01.01からR7.04.51まで(*2)
  • B/M9000 VP R8.01.01およびそれ以降(*2)
  • CENTUM CS 1000 R2.01.00からR3.09.50まで
  • CENTUM CS 3000 R2.01.00からR3.09.50まで
  • CENTUM CS 3000 Small R2.01.00からR3.09.50まで
  • CENTUM VP Basic R4.01.00からR4.03.00まで(*1)
  • CENTUM VP Basic R5.01.00からR5.04.20まで(*1)
  • CENTUM VP Basic R6.01.00およびそれ以降(*1)
  • CENTUM VP R4.01.00からR4.03.00まで(*1)
  • CENTUM VP R5.01.00からR5.04.20まで(*1)
  • CENTUM VP R6.01.00およびそれ以降(*1)
  • CENTUM VP Small R4.01.00からR4.03.00まで(*1)
  • CENTUM VP Small R5.01.00からR5.04.20まで(*1)
  • CENTUM VP Small R6.01.00およびそれ以降(*1)

(*1)ユーザー認証に CENTUM 認証モードを使用している場合に本脆弱性の影響を受けます。
(*2)同梱されている CENTUM により本脆弱性の影響を受けます。
詳しくは、開発者が提供する情報を確認してください。
想定される影響

当該製品がインストールされたコンピューターにログイン可能もしくは共有フォルダにアクセス可能な攻撃者により、当該コンピューターに格納されているパスワードファイルを改ざんされることで、CENTUM が管理するユーザーの権限を昇格され、結果として上位の権限で制御システムを操作される可能性があります。

本脆弱性が悪用されるには次の条件が必要です。

 * 攻撃者が、当該製品がインストールされたコンピューターの認証情報を取得している
 * ユーザー認証に CENTUM 認証モードを使用している (CENTUM VP を使用している場合)

詳しくは、開発者が提供する情報を確認してください。
対策

[旧製品の使用を停止し後継製品に移行する]
CENTUM CS 100 0および CENTUM CS 3000(CENTUM CS 3000 Small を含む)の場合:
保守期間が終了しているため、対策は提供されません。
最新の CENTUM VP シリーズへの移行(マイグレーション)を検討してください。

[アップデートする]
CENTUM VP、CENTUM VP Small、CENTUM VP Basic
R4.01.00 から R4.02.00 までの場合:
開発者が提供する情報をもとに、R4.03.00 へアップデートした上でユーザー認証モードを Windows 認証モードに変更してください。

[認証モードを変更する]
CENTUM VP、CENTUM VP Small、CENTUM VP Basic
R4.03.00、R5.01.00からR5.04.20、R6.01.00 およびそれ以降の場合:
ユーザー認証モードを Windows 認証モードに変更してください。

なお、B/M9000 CS および B/M9000 VP を使用している場合、製品自体に本脆弱性は存在しませんが、一緒にインストールされる CENTUM により本脆弱性の影響を受けます。そのため、最新の CENTUM VP にアップデートする場合は、B/M9000 VP も適切なバージョンにアップデートする必要があります。

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

横河電機株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 重要な情報の平文保存(CWE-312) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-26593
参考情報

  1. JVN : JVNVU#98775218
  2. National Vulnerability Database (NVD) : CVE-2023-26593
更新履歴

  • [2023年04月06日]
      掲載
  • [2024年05月29日]
      参考情報:National Vulnerability Database (NVD) (CVE-2023-26593) を追加

公表日2023/04/05
登録日2023/04/06
最終更新日2024/05/29