公開日:2021/04/02 最終更新日:2021/04/02

JVNVU#93112256
Rockwell Automation 製 FactoryTalk AssetCentre に複数の脆弱性

概要

Rockwell Automation 社が提供する FactoryTalk AssetCentre には、複数の脆弱性が存在します。

影響を受けるシステム

  • FactoryTalk AssetCentre v10.00 およびそれ以前

詳細情報

Rockwell Automation 社が提供する FactoryTalk AssetCentre には次の複数の脆弱性が存在します。

  • 信頼できないデータのデシリアライズ (CWE-502) - CVE-2021-27470、CVE-2021-27466、CVE-2021-27462、CVE-2021-27460
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • 潜在的に危険な関数の使用 (CWE-676) - CVE-2021-27474
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • OSコマンドインジェクション (CWE-78) - CVE-2021-27476
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • SQLインジェクション (CWE-89) - CVE-2021-27472、CVE-2021-27468、CVE-2021-27464
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 認証されていない遠隔の第三者によって、任意のコマンドを実行される - CVE-2021-27476、CVE-2021-27470、CVE-2021-27466、CVE-2021-27462
  • 認証されていない遠隔の第三者によって、FactoryTalk AssetCentre の機密データを変更される - CVE-2021-27474
  • 認証されていない遠隔の第三者によって、任意の SQL ステートメントを実行される - CVE-2021-27472、CVE-2021-27468、CVE-2021-27464
  • 認証されていない遠隔の第三者によって、FactoryTalk AssetCentre メインサーバとすべてのエージェントマシンにアクセスされる - CVE-2021-27460

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • FactoryTalk AssetCentre v11
ワークアラウンドを実施する
開発者は次のワークアラウンドの適用を推奨しています。
  • ガイダンス QA46277(要ログイン) に従い FactoryTalk AssetCentre のセキュリティ機能を使用する
  • 全てのソフトウェアを一般ユーザとして実行する
  • Microsoft AppLocker などのホワイトリストアプリケーションを導入し、不要なアプリケーションの実行を制限する
    • Rockwell Automation 製品における AppLocker の使用に関する情報はナレッジベース QA17329(要ログイン) を参照ください
  • ユーザやサービスアカウントに対するデータベースなどリソースへのアクセス権は、必要最小限で許可する

参考情報

  1. ICS Advisory (ICSA-21-091-01)
    Rockwell Automation FactoryTalk AssetCentre

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-27460
CVE-2021-27462
CVE-2021-27464
CVE-2021-27466
CVE-2021-27468
CVE-2021-27470
CVE-2021-27472
CVE-2021-27474
CVE-2021-27476
JVN iPedia