公開日:2022/08/31 最終更新日:2022/08/31

JVNVU#91110993
複数のHoneywell製品における複数の脆弱性

概要

Honeywellが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-30312

  • Inter-Controller(IC) protocolを利用するIQシリーズコントローラ すべてのバージョン
CVE-2022-30317
  • Experion LX すべてのバージョン
CVE-2022-30318
  • ControlEdge 151.2より前のすべてのバージョン

詳細情報

Honeywellが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 重要情報の平文送信 (CWE-319) - CVE-2022-30312
  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-30317
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-30318

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの第三者によって、認証情報を窃取される - CVE-2022-30312
  • 遠隔の第三者によって、当該製品が使用するEpicMoプロトコルにアクセスされ、ファームウェアを操作されたり、サービス運用妨害(DoS)状態にされる - CVE-2022-30317
  • 遠隔の第三者によって、当該製品にSSHでアクセスされ、任意のコードを実行される - CVE-2022-30318

対策方法

アップデートする
CVE-2022-30312
IQ4シリーズのコントローラの場合は、最新のファームウェアバージョンを使用してください。

CVE-2022-30318
バージョン151.2以降にアップグレードしてください。

ワークアラウンドを実施する
CVE-2022-30317
Experion LX R520.1では、セキュアブート機能と署名付きファームウェアイメージを使用してください。
R501.6、R511.5、R520では、セキュアロック機能を使用してください。

CVE-2022-30312
製品ドキュメントに含まれている当該製品のセキュリティベストプラクティスに従ってください。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. Forescout Technologies, Inc.
    OT:ICEFALL: 56 Vulnerabilities Caused by Insecure-by-Design Practices in OT
  2. Forescout Technologies, Inc.(PDF)
    OT:ICEFALL
  3. ICS Advisory (ICSA-22-242-06)
    Honeywell ControlEdge
  4. ICS Advisory (ICSA-22-242-07)
    Honeywell Experion LX
  5. ICS Advisory (ICSA-22-242-08)
    Honeywell Trend Controls Inter-Controller Protocol

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia