公開日:2022/12/16 最終更新日:2022/12/16

JVNVU#92550485
Prosys OPC UA Simulation ServerおよびProsys OPC UA Modbus Serverにおける認証情報の不十分な保護の脆弱性

概要

Prosys OPC社が提供するProsys OPC UA Simulation ServerおよびProsys OPC UA Modbus Serverには、認証情報の不十分な保護の脆弱性が存在します。

影響を受けるシステム

  • Prosys OPC UA Simulation Server Version 5.4.0より前のバージョン
  • Prosys OPC UA Modbus Server Version 1.4.20より前のバージョン

詳細情報

Prosys OPC社が提供するProsys OPC UA Simulation ServerおよびProsys OPC UA Modbus Serverには、次の脆弱性が存在します。

  • 認証情報の不十分な保護 (CWE-522) - CVE-2022-2967

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品の管理者権限を取得し、ローカルネットワークからアクセス可能な攻撃者によって、他のユーザの認証情報を取得され、システムデータにアクセスされる

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報、または本件に対応するICS Advisoryをご確認ください。

ベンダ情報

ベンダ リンク
Prosys OPC Prosys OPC UA Simulation Server | Release Notes
Prosys OPC UA Modbus Server | Release Notes

参考情報

  1. ICS Advisory (ICSA-22-349-01)
    Prosys OPC UA Simulation Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia