JVNDB-2024-003107
|
Unitronics 製 Vision シリーズ PLC における復元可能な形式でのパスワード保存の脆弱性
|
|
Unitronics が提供する Vision シリーズの PLC には、次の脆弱性が存在します。
* 復元可能な形式でのパスワード保存(CWE-257)− CVE-2024-1480
|
|
|
|
|
Unitronics
- vision120 ファームウェア すべてのバージョン
- vision230 ファームウェア すべてのバージョン
- vision280 ファームウェア すべてのバージョン
- vision290 ファームウェア すべてのバージョン
- vision530 ファームウェア すべてのバージョン
|
|
|
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
* 攻撃者によって、認証無しで「Information Mode」の平文パスワードを取得され、当該製品のリモート HMI 機能にログインされる。結果として、当該製品を工場出荷状態にされたり、停止または再起動されたりする
|
|
[ワークアラウンドを実施する]
開発者は、次のワークアラウンドの適用を推奨しています。
* 「Info Mode」のデフォルトパスワードを変更する
* イーサネットカードを持つ PLC の場合、Ethernet アクセスを制限する
また、本脆弱性の報告者である Dragosは、デフォルトのプログラマポートを変更するか VPN を使用することで、当該製品への 20256/TCP ポートでのアクセスを制限することを推奨しています。
詳細は、本件に対応する ICS Advisory の "4. MITIGATIONS" を確認してください。
|
|
Unitronics
|
|
- 復元可能な形式でのパスワード保存(CWE-257) [その他]
|
|
- CVE-2024-1480
|
|
- JVN : JVNVU#97942786
- ICS-CERT ADVISORY : ICSA-24-109-01
|
|
- [2024年04月22日]
掲載
- [2024年05月02日]
対策:内容を更新
|
