JVNDB-2023-002628

Schneider Electric 製 EcoStruxure Products 、Modicon PLCs および Programmable Automation Controllers における例外的状況に対する確認が不十分な脆弱性

Schneider Electric が提供する EcoStruxure Products、Modicon PLCs および Programmable Automation Controllers には、次の脆弱性が存在します。

　* 例外的状況に対する確認が不十分 (CWE-754) - CVE-2022-45788

Schneider Electric

• EcoStruxure Control Expert V15.3 より前のバージョン
• EcoStruxure Process Expert V2020 およびそれ以前のバージョン
• Legacy Modicon Quantum （140CPU65*） および Premium CPUs （TSXP57*） すべてのバージョン
• Modicon M340 CPU （part numbers BMXP34*） SV3.51 より前のバージョン
• Modicon M580 CPU （part numbers BMEP* および BMEH*） SV4.10 より前のバージョン
• Modicon M580 CPU Safety （part numbers BMEP58*S および BMEH58*S)  すべてのバージョン
• Modicon MC80 （BMKC80*） SV1.90 より前のバージョン
• Modicon Momentum Unity M1E Processor （171CBU*） SV2.6 より前のバージョン

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

　* 遠隔の第三者によって細工されたファイルをコントローラーにロードすると、当該製品に不正にアクセスされたり、任意のコードを実行されたり、サービス運用妨害 （DoS） 状態にされたりする

[アップデートする]
開発者は、アップデートを提供しています。

[ワークアラウンドを実施する]
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

なお、開発者によると、 Modicon Premium および Quantum controllers はサポートが終了しており、これら製品については後続製品への移行を推奨しているとのことです。

詳細は、開発者が提供する情報をご確認ください。

Schneider Electric

• Schneider Electric : Schneider Electric Security Notification EcoStruxure Control Expert, EcoStruxure Process Expert and Modicon PLCs and PACs（PDF）
• Schneider Electric : Recommended Cybersecurity Best Practices

1. 例外的な状態における不適切なチェック(CWE-754) [その他]

1. CVE-2022-45788

1. JVN : JVNVU#93366178
2. ICS-CERT ADVISORY : ICSA-23-201-01

• [2023年07月24日]
    掲載