公開日:2021/01/13 最終更新日:2021/01/13

JVNVU#99870119
Schneider Electric 製 EcoStruxure Power Build - Rapsody に危険なタイプのファイルの無制限アップロードの脆弱性

概要

Schneider Electric 社が提供する EcoStruxure Power Build - Rapsody には、危険なタイプのファイルの無制限アップロードの脆弱性が存在します。

影響を受けるシステム

  • EcoStruxure Power Build - Rapsody software バージョン 2.1.13 およびそれ以前

詳細情報

Schneider Electric 社が提供する EcoStruxure Power Build - Rapsody は LV 配電盤構成および見積もりソフトウェアです。
EcoStruxure Power Build - Rapsody には、危険なタイプのファイルの無制限アップロードの脆弱性が存在します。

  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-22697、CVE-2021-22698
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

第三者によって細工された SSD ファイルをアップロードされ、当該ファイルが不適切に解析された場合、解放済みメモリ使用やスタックベースのバッファオーバーフローを引き起こし、リモートでコード実行される可能性があります。

対策方法

2021年1月13日現在、修正済みのバージョンは提供されていません。
Schneider Electric 社によると 2021年6月までに、修正済みのバージョンが提供予定とのことです。

ワークアラウンドを実施する
Schneider Electric 社は、修正済みのバージョンが提供されるまで、次のワークアラウンドの適用を推奨しています。

  • Rapsody software へのアクセスを権限がある人のみに制限する
  • Application whitelisting software をインストールし、許可されていないコード実行を制限する
  • ウイルス対策ソフトを常に最新の状態で利用する

ベンダ情報

ベンダ リンク
Schneider Electric EcoStruxure Power Build - Rapsody

参考情報

  1. ICS Advisory (ICSA-21-012-01)
    Schneider Electric EcoStruxure Power Build-Rapsody

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-22697
CVE-2021-22698
JVN iPedia